日语辅导热招
您的位置:外语教育网 > 日语 > 文化娱乐 > 正文

日语报刊选读60

2006-07-03 02:12   我要纠错 | 打印 | 收藏 | | |

  セキュリティ関連のメーリング?リストやWebサイトにおいて,マイクロソフトが7月3日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ?ホールをふさぐパッチではなく, ADODB.StreamをInternet Explorer(IE)から使えないように設定(レジストリ)を変更するプログラムに過ぎないためだ(関連記事)。プログラムを適用したからといって,すべての攻撃を防げるわけではない。

  6月以降,修正パッチをすべて適用したIEでも,WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち,「Download.Ject」などは,IEのセキュリティ?ホール「クロスドメインの脆弱性」とADODB.Streamを使う。 Windowsに含まれるADODB.Streamは,ファイルを読み書きできるActiveXコントロールで,セキュリティ?ホールとは何ら関係がない。Download.Jectなどがセキュリティ?ホールを突いたときに利用するだけだ。

  マイクロソフトが公開したプログラムは,ADODB.StreamをIEから使えないように設定変更することで,Download.Jectなどの攻撃を回避できるようにする。セキュリティ?ホールをふさぐものではない。プログラムを適用しても,セキュリティ?ホールは残っている。このため, ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも,「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。

  実際,ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば,マイクロソフトが公開したプログラムを適用していても,任意のプログラムをダウンロードおよび実行させられるという。

  米US-CERTでは,マイクロソフトから万全の解決策(例えばパッチ)が公開されるまでは,ADODB.StreamをIEから使えないようにするだけではなく,「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。

  译文对照:

  在与安全相关的邮件列表和Web网站上,日前有人公布了一种即使安装了日本微软7月3日公布的“使ADODB.Stream失效的程序也无法避免的攻击方法。微软发布的程序并不是修补安全漏洞的补丁,而只是通过更改设定(注册表)使得从Internet Explorer(IE)上无法再使用ADODB.Stream的程序。安装该程序也并非可以防止所有的攻击。

  6月以来,即使是安装了所有的修正补丁的IE,仅仅浏览Web网页和Html邮件就可能遭受攻击——这种攻击代码越来越多。在这类代码中,“Download.Ject”等利用了IE的安全漏洞“跨域(Cross Domain)弱点”和ADODB.Stream。Windows里包含的ADODB.Stream是可以读写文件的ActiveX控件,与安全漏洞并没有任何关系。仅是被Download.Ject利用来突破安全漏洞。

  微软此次发布的程序,通过更改设定使得从IE上无法再使用ADODB.Stream,以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程序,安全漏洞依然存在。因此,无法防止通过ADODB.Stream以外的控件发起的进攻。美国US-CERT也告诫说:“要警惕那些不使用ADODB.Stream的其它攻击方法”。

  实际上,互联网上已经出现了使用ADODB.Stream以外控件的攻击方法。使用这些方法,即使是安装了微软公布的程序,也有可能在不知情的情况下下载并运行任意程序。

  US-CERT建议说,在微软公布完善的解决方案(比如补丁)之前,不仅要通过设定使IE无法再使用ADODB.Stream,还要“使javascript和ActiveX控件失效”、“不要点击可疑邮件中给的链接”以及“使用杀毒软件”。

  上一篇:  日语报刊选读58

  下一篇:  日语报刊选读59

相关资讯:
网站导航:
 四六级 指南 动态 经验 试题 资料  托福 指南 动态 经验 留学 备考
 雅思 指南 动态 机经 经验 辅导  公共英语 指南 动态 备考 试题 辅导
 日语 就业 辅导 留学 考试 报考  法语 资料 文化 考试 留学 辅导
 韩语 入门 口语 阅读 留学 文化  西语 辅导 资料 考试 留学 风采
日语0-N2 级直通车 系统讲解考点,轻松应对考试
课时数:20课时
日本语能力测试N1 解读命题特点,稳步提升能力
课时数:20课时
日本语能力测试N2 解题命题精髓,成功征服考试
课时数:15课时
日本语能力测试N3 揭秘答题技巧,直达高分成绩
课时数:15课时
日本语能力测试N4 剖析做题技巧,全面提升能力
课时数:6课时
日本语能力测试N5 提炼考试精华,逐步精通日语
课时数:3课时
学员 ajgoq12:
我参加了外语教育网日本语能力测试N1考试辅导课程,很喜欢李菲菲老师的讲课风格。老师授课重点突出,注重日语学习能力的培养,让我受益良多。即将参加考试了,我一定会考出好的成绩。再一次感谢老师,感谢网校!
学员 iehkfn584:
外语教育网日语能力测试网上辅导的李菲菲老师讲得真好,真得很感谢老师。还有网站的高清课件和移动课堂真棒,课程播放流畅,画面清晰,能够随时学习,功能太强大了!
学员 kaku1:
刚上课时觉得课程很多,不知不觉间3个月课就上完了,果然时光易逝啊。这一段时间向李菲菲老师学习了不少东西,从而让我对日语有了更深的了解和体会。虽然课程结束了,但是学习是一辈子的事情。我会继续努力的~~大家也一起加油吧!
学员 yaba1:
一直想找一个学习日语的网校,可以反复听课,因为我不想学哑巴日语。外语网的老师讲得非常好,我很喜欢,打算一直学下去!
学员 liff1:
超喜欢李菲菲老师的日语课!语言简洁流畅不赘述,而且能把枯燥的课程讲得很生动。
学员 lsakld:
日语零起点是我在网校学习的第一个辅导班,以前就知道外语教育网,但当自己真的成为网校学员时,感觉非常好。通过学习类延云老师的课程,为自己打牢了日语基础。以后我会继续在网校学习,为出国做准备。
学员 984jkfjdslhk:
从学习日语零起点,到实用日语,再到新标准日本语,感谢外语教育网一路的陪伴,现在的我已经可以流利地用日语交流了。对于上班族和妈妈级的人来说,网校无疑是最好的学习场所,向各位学友推荐。我要大声说:网校太棒了!
学员 xwpae:
外语教育网课程真得很棒,老师讲得也很好。新标日是很经典的教材,是考试必学的内容,大家都来网校学习一下吧!
学员 xiepam:
眼看着能力考报名就要结束了,一直犹豫要不要报名,今天早上终于下定决心,准备参加今年的考试。N3虽然级别不高,但是,对于我来说已经很有难度了。听了外语教育网的课程,感觉自己能够跟上老师的讲课节奏,日语水平也得到了很大提高。希望今年夏天可以通过考试!
学员 hhaiwp:
是不是因为春天来了,所以漫画家都开始活跃起来,最近的新番真的很多,很喜欢看啊!距离7月份的能力考还有3个月,给自己加油!最亲爱的外语教育网老师,这段时间就要お愿いします!ガンバれ!
版权声明
   1、凡本网注明 “来源:外语教育网”的所有作品,版权均属外语教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:外语教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:for68@chinaacc.com
电话:010-82319999-2371