VAIOのプリインストールプログラムに大穴 11
ストーリー by Oliver
どうしてそうなる的バグ 部門より
どうしてそうなる的バグ 部門より
k3c 曰く、 "ソニーからの「バイオのセキュリティに関する重要なお知らせ」によれば、「VAIO」シリーズのパソコンのうち特定の機種に、外部から任意のプログラムを実行されてしまう脆弱性を持ったプログラムがプリインストールされていたことが明らかにされました(プレスリリース)。影響を受けるのは昨年5月から12月までの間に発売開始したモデルで、これらのモデルにプリインストールされている「CyberSupport for VAIO」のバージョン3.0または3.1が、電子メールあるいはWebブラウザ経由でHTML形式のファイルを閲覧した場合に何やら悪さをして、任意のファイルを外部から実行されてしまうのだそうです。セキュリティ強化プログラムなるものが既に提供されているので、該当する方(このページの下のほうに該当機種の型番が記載されています)は対策を施した方がよさゲです…。"
扱いが小さい (スコア:1)
char *A;
モータースポーツ部 [slashdot.jp]
Re:扱いが小さい (スコア:1)
で、高木浩光さんのレポートを見る限りでは
(セキュリティmemoMLなどに流れてました)、
ActiveXが機能して、さらに悪意あるHTMLファイルにアクセスした場合に
この問題が起こるってことなんですね。
とするとMozillaしか縁のない人にとっては害がない、
ってことでいいのでしょうか。
それにしても、Sonyの発表分かりづらいなぁ。
ActiveXを無効にするとかの一時しのぎの方法も書いておけばいいのに。
IEコンポーネント (スコア:1)
HTMLの表示にIEコンポーネントを使ってるんじゃないかな?
VAIOマニュアルがどんなものかは知らないのでなんともいえませんけど
その場合、MozillaつかっててもVAIOマニュアルが使用するhtmlパーサまでMozilla(Gekko)に置き換えられるわけではないので無害とはいえません。
しかし、ソフト名から推測するに、ローカルでもってるヘルプやマニュアル参照するためのアプリだと思うんですが,なんでこんなもので電子メールや外部Webが参照できるんでしょうか?
#ちなみに、ThinkPadの場合、メモリ増設方法なども紙のマニュアルには載っておらず、この手のソフトに動画付で載ってました。
Re:IEコンポーネント (スコア:2, 参考になる)
特定のハードで不具合が見つかっても、結果的に他のプロダクト、他のソフトウェアに同様の欠陥が発見されることはよくある(クロスサイトスクリプティングなどはそのいい例でしょう)ので、それを理由に評価を下げるのはちょっと合理的ではないかもしれません。
# 注意:DynaBookやPriusに欠陥が発見されたといっているわけではナイ。
…ただ、/.Jでは、タレコミの重要度をどう判断するかは全面的に編集者に委ねられているので、我々がここで議論して線引きできるというものでもないですよね…結果的には、charさんの意見を反映する形でトップにも表示されましたが。
# 議論板 [srad.jp]でも作りますかね?
Re:IEコンポーネント (スコア:1)
>別にセクションのみの掲載でいいのでは?
それは問題意識が違うんだと思います。
今回の件は企業及びマスコミが脆弱性に対して今後どう対処対応していくかの
試金石であって、とりあえずsonyはうまくやったと言っていいでしょ。
今後同様の問題が起こっても適切に対応できるかどうかを考えるには
自分を含めた対象外の人々も注目していい話ではないかと思いますけれど。
>その場合、MozillaつかっててもVAIOマニュアルが使用するhtmlパーサまで
>Mozilla(Gekko)に置き換えられるわけではないので無害とはいえません。
本当にそうなの?
今回の件は悪意あるHTMLにアクセスすることで発生する問題ということで
つまりwebとかHTMLメールを見てる時にマズい
(確かにこれ以外でもIEコンポーネントを使ってる場合はもちろん害あり)。
しかし実際webはMozillaでメーラはplainテキストしか扱わないよ、
というのであれば無害ではないでしょうか。
これはローカルファイルに悪意あるHTMLが存在しないことを仮定してますけど、
普通そうじゃありませんか? 認識が甘い?
とにかく、別にマニュアルを見てる時に問題があるとかそういう話ではないので、
結構深刻なんだと思いますよ。
メールが届いたから読んでみたらハードディスクの内容が消されちゃいました、
とかそういう状況が起こり得るので軽視しない方がいいと思います。
Re:IEコンポーネント (スコア:1)
VAIO持っているけど、子供のんだから詳しく見てないけど、どこかにそのような記述があったような気がする。
オーナーの方、詳しい情報を!
もしそうだとすれば、Htmlというのも関連があるし、ご本尊のコンセプトベースのセキュリティホールはどうなの、という話にもなるけど。杞憂であればいいけど。
Re:扱いが小さい (スコア:1)
http://memo.st.ryukoku.ac.jp/archive/200201.month/2730.html [ryukoku.ac.jp]
ですね。
最近のVAIO (スコア:0)
ハードウエアもかなり「やわ」になってきているし、電源の容量不足のトラブルも、多い。だいぶ昔になるが、かつて東芝であったような「電源不足」トラブルだね。とにかく、「ソニータイマ」以前の基本的な設計の問題、というトラブルが大変に多い。
このままでは「世界のソニー」が「世界の粗悪品、ソニー」になっちゃうと思いますが。。。。
Re:最近のVAIO (スコア:1)
->スタートアップ
で、捨てられませんか。
Re:最近のVAIO (スコア:0)
何それ? おいしいの?
Re:最近のVAIO (スコア:1)
で、私殺したんですよ。
そしたらFnキー+ファンクションキーの機能が全て使えなくなったので
渋々インストールしました。
でもほんとあれは邪魔です。
(なので3秒で表示オフになるようにしてます)
私の認識としてはACPI制御(?)にあのソフトを使ってるんじゃないかと
思ってるんですが、どーなんでしょ。