日语辅导热招
您的位置:外语教育网 > 日语 > 文化娱乐 > 正文

日语报刊选读60

2006-07-03 02:12   我要纠错 | 打印 | 收藏 | | |

  セキュリティ関連のメーリング?リストやWebサイトにおいて,マイクロソフトが7月3日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ?ホールをふさぐパッチではなく, ADODB.StreamをInternet Explorer(IE)から使えないように設定(レジストリ)を変更するプログラムに過ぎないためだ(関連記事)。プログラムを適用したからといって,すべての攻撃を防げるわけではない。

  6月以降,修正パッチをすべて適用したIEでも,WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち,「Download.Ject」などは,IEのセキュリティ?ホール「クロスドメインの脆弱性」とADODB.Streamを使う。 Windowsに含まれるADODB.Streamは,ファイルを読み書きできるActiveXコントロールで,セキュリティ?ホールとは何ら関係がない。Download.Jectなどがセキュリティ?ホールを突いたときに利用するだけだ。

  マイクロソフトが公開したプログラムは,ADODB.StreamをIEから使えないように設定変更することで,Download.Jectなどの攻撃を回避できるようにする。セキュリティ?ホールをふさぐものではない。プログラムを適用しても,セキュリティ?ホールは残っている。このため, ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも,「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。

  実際,ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば,マイクロソフトが公開したプログラムを適用していても,任意のプログラムをダウンロードおよび実行させられるという。

  米US-CERTでは,マイクロソフトから万全の解決策(例えばパッチ)が公開されるまでは,ADODB.StreamをIEから使えないようにするだけではなく,「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。

  译文对照:

  在与安全相关的邮件列表和Web网站上,日前有人公布了一种即使安装了日本微软7月3日公布的“使ADODB.Stream失效的程序也无法避免的攻击方法。微软发布的程序并不是修补安全漏洞的补丁,而只是通过更改设定(注册表)使得从Internet Explorer(IE)上无法再使用ADODB.Stream的程序。安装该程序也并非可以防止所有的攻击。

  6月以来,即使是安装了所有的修正补丁的IE,仅仅浏览Web网页和Html邮件就可能遭受攻击——这种攻击代码越来越多。在这类代码中,“Download.Ject”等利用了IE的安全漏洞“跨域(Cross Domain)弱点”和ADODB.Stream。Windows里包含的ADODB.Stream是可以读写文件的ActiveX控件,与安全漏洞并没有任何关系。仅是被Download.Ject利用来突破安全漏洞。

  微软此次发布的程序,通过更改设定使得从IE上无法再使用ADODB.Stream,以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程序,安全漏洞依然存在。因此,无法防止通过ADODB.Stream以外的控件发起的进攻。美国US-CERT也告诫说:“要警惕那些不使用ADODB.Stream的其它攻击方法”。

  实际上,互联网上已经出现了使用ADODB.Stream以外控件的攻击方法。使用这些方法,即使是安装了微软公布的程序,也有可能在不知情的情况下下载并运行任意程序。

  US-CERT建议说,在微软公布完善的解决方案(比如补丁)之前,不仅要通过设定使IE无法再使用ADODB.Stream,还要“使javascript和ActiveX控件失效”、“不要点击可疑邮件中给的链接”以及“使用杀毒软件”。

  上一篇:  日语报刊选读58

  下一篇:  日语报刊选读59

相关资讯:
网站导航:
 四六级 指南 动态 经验 试题 资料  托福 指南 动态 经验 留学 备考
 雅思 指南 动态 机经 经验 辅导  公共英语 指南 动态 备考 试题 辅导
 日语 就业 辅导 留学 考试 报考  法语 资料 文化 考试 留学 辅导
 韩语 入门 口语 阅读 留学 文化  西语 辅导 资料 考试 留学 风采
日语0-N2 级直通车 系统讲解考点,轻松应对考试
课时数:20课时
日本语能力测试N1 解读命题特点,稳步提升能力
课时数:20课时
日本语能力测试N2 解题命题精髓,成功征服考试
课时数:15课时
日本语能力测试N3 揭秘答题技巧,直达高分成绩
课时数:15课时
日本语能力测试N4 剖析做题技巧,全面提升能力
课时数:6课时
日本语能力测试N5 提炼考试精华,逐步精通日语
课时数:3课时

外语教育网(www.for68.com)是北京东大正保科技有限公司(CDEL)旗下一家大型外语远程教育网站,正保科技成立于2005年7月,是国内超大型外语远程教育基地,上榜“北京优质教育资源榜”--“百万读者推崇的网络教育机构”。


公司凭借雄厚的师资力量、先进的网络视频多媒体课件技术、严谨细致的教学作风、灵活多样的教学方式,为学员提供完整、优化的外语课程,既打破了传统面授的诸多限制,发挥了网络教育的优势,也兼顾面授的答疑与互动特点,为我国培养了大量优秀的外语人才。


为了满足学员学习不同语种、不同阶段的学习需求,网站开设了包括考试英语、行业英语、实用口语以及小语种在内的百余门语言学习课程,涵盖英语、日语、韩语、俄语、德语、法语、西班牙语、意大利语、阿拉伯语等主要语种,供学员自由选择。此外,网站还拥有各类外语专业信息和考试信息20余万条,是广大学员了解外语类考试最新政策、动态及参加各语种培训的优质网站。


北京东大正保科技有限公司成立于2000年,是一家具备网络教育资质、经教育部批准开展远程教育的专业公司,为北京市高新技术企业、中国十大教育集团、联合国教科文组织技术与职业教育培训在中国的唯一试点项目。


公司下属13家行业远程教育网站,业务涵盖了会计、法律、医学、建设、自考、成考、考研、中小学、外语、信息技术、汉语言教学等诸多领域,拥有办公面积8000多平米,员工近千人,公司年招生规模达270万人。由于正保远程教育(China Distance Education Holdings Ltd., CDEL)在中国互联网远程教育行业内的绝对优势和强大影响力,正保教育模式一直被广大投资人所追捧。2008年7月30日,公司在美国纽约证券交易所正式挂牌上市(股票交易代码:DL),是2008年唯一一家在美国纽交所上市的专业从事互联网远程教育的中国企业。


版权声明
   1、凡本网注明 “来源:外语教育网”的所有作品,版权均属外语教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:外语教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:for68@chinaacc.com
电话:010-82319999-2371