Windows XP SP2の欠陥にロシア企業が独自パッチ 69
ストーリー by Oliver
直してくれぬなら直してみせよう 部門より
直してくれぬなら直してみせよう 部門より
Sassy 曰く、 "先月末ロシアのPositive Technologies社がWindows XP SP2に搭載されたデータ実行保護機能(DEP)の実装に見落としがあり回避できてしまう問題をMicrosoftに報告したが,一月経っても何の返事も寄こさないので自分たちでセキュリティパッチをリリース(ロシア語)したとのこと。ITMediaの続報によると,「ハッカーグループは既にDEPの脆弱性を突いてPCのメモリに不正コードを挿入する方法の開発に当たっている」とPositive Technologies社CEOは語ったそうだが,Microsoftによれば「DEP機能を回避する試みはセキュリティ脆弱性とはならない」し,「これまでに不正の事例はなく、同社の考えでは利用者は危険な状態にはないという」。"
セグメンテーションは使われないのが普通? (スコア:4, 興味深い)
昔のミニコンや OS/2 はセグメンテーションを使っていたと思うんですが、なにかディスアドバンテージがあったからフラットなメモリモデルが主流になったんでしょうか?
屍体メモ [windy.cx]
Re:セグメンテーションは使われないのが普通? (スコア:4, 興味深い)
1桁遅いクロックになっているんじゃぁないかと思うくらい
パフォーマンスが落ちます。
インテルに言っても”そんなはずはない!”って
取り合ってもらえませんでしたが、代理店さん
の技術の人は’目をつぶってください。’
って言ってました。
ディスクリプタのロードがおそい? (スコア:2, 興味深い)
そういや仮想86モードも遅かったよなぁ。でも仮想86モードの場合はことあるごとにリング間遷移が頻発しているし、それで遅いんだと思ってました。
単にせっかくの機能を使わないのはもったいないなぁ、って貧乏性なだけなんですけどね。使わないならその機能削ってダイサイズ小さくするとかすりゃいいのになぁ、なんて思った次第。
屍体メモ [windy.cx]
Re:ディスクリプタのロードがおそい? (スコア:1, 参考になる)
仮想86モード(Livingdeadさんは理解していると思いますが、知らない方のために念のために書いておくと、仮想86モードはプロテクトモード内に含まれるサブモードのひとつです)が遅いのはそのとおりだと思います。割り込みが発生した際にリング遷移が起こったり、I/OポートアクセスごとにTSS32のテーブルを確認したり、アドレス変換のためにページテーブルを見たりといった要因も関連しているでしょう(もちろん、これは仮想86モードがプロテクトモードで動くリング0の管理下にある1つのタスクでしかないからこういう設計になっているわけで、無駄なことではありません)。
Re:ディスクリプタのロードがおそい? (スコア:0)
より高速なCPUを搭載したPCの需要が増えるので、CPUやPCメーカーとしては望むところだと思うのですけれど…
最近のWindowsやLinuxデスクトップのような、どうでもい
Re:ディスクリプタのロードがおそい? (スコア:0)
> より高速なCPUを搭載したPCの需要が増えるので、CPUやPCメーカーとしては望むところだと思うのですけれど…
新しいCPUを「より安全なCPU」ってことで売ることはできるかもしれません。
(一般にはあまり知られてない機能みたいだけど)
Re:セグメンテーションは使われないのが普通? (スコア:1, 興味深い)
具体的にどのような使い方が「使えるレベルで活用」なのでしょうか?
Re:セグメンテーションは使われないのが普通? (スコア:2, 参考になる)
# バッファオーバーフローはスタックが普通とは逆に下から上に伸びるようにするだけでほとんどは回避できる。はずなんだが...
Re:セグメンテーションは使われないのが普通? (スコア:1, 興味深い)
とかとか。ちょっと考えるといろいろと出てきそうです。
Re:セグメンテーションは使われないのが普通? (スコア:1)
最重要データの保護の為に別セグメント(物理的にはメインメモリと同じRAM)にデータを置いただけで、2割ぐらい大きくなって、キャッシュをOFFにしたかと思うぐらいに遅かったことがありました。タスクのCPU時間の消費を見ると1割少々から9割を越えてました。
仕方ないのでローカルにコピーして更新して書き戻すことになってしまいました。なんだか、ディスクにアクセスしているみたいな感じです。
実際は、キャッシュが有効に働かない状況を作っていたかもしれませんけど。
ロシア流 (スコア:2, おもしろおかしい)
「これがロシア流の修理の仕方だ!」
Re:ロシア流 (スコア:0)
あれ?そのまんまやんけ。
解説しよう (スコア:1, 参考になる)
ロシア人のレヴが「これがロシア流の修理の仕方だ」と言って
棒でぶった叩いて宇宙船を治すのがネタになっている
#オリジナルのネタを探して放浪中
Re:解説しよう (スコア:1)
# 直るものも直らない
---- 何ぃ!ザシャー
qwikfix (スコア:2, 興味深い)
今までもあったのでは?WindowsやIEの脆弱性を
どうにかしてくれるpivxのqwikfix [pivx.com]なんか有名ですよね.
報告者とパッチ作成者が同じというだけの話で、
実のところ取り立ててどうのという話ではないような.
#モデ権来てるのでAC
------
やなぎ
プラスもらったACはID取ってくれるとうれしいな
あったね・・・ (スコア:0)
不具合を起こした事もあったので
今回も同様な事がおきそうな予感です。
パッチと称して変なトロイとか入っても嫌だし
適用するひと少ないと思う。
##さっき、コタツの中で屁をぶっこいたら、
##なんともいえない硫黄臭さで 失神しそうでした。
Re:あったね・・・ (スコア:1)
>不具合を起こした事もあったので
MS純正パッチでもそういうことよくありますね。。。
Re:あったね・・・ (スコア:1)
というか、いっそのこと脆弱性パッチ作成は外注して、MSがチェックして公式パッチとする、
としてもいいのではないかと思ったり。
…すでにそうなってたり?
"Stupid risks are what make life worth living!" -- Homer Simpson
こういった第三者(?)によるパッチって (スコア:1)
当然、動きを調べたりしているわけで…。
Re:こういった第三者(?)によるパッチって (スコア:1)
Re:こういった第三者(?)によるパッチって (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:こういった第三者(?)によるパッチって (スコア:1)
Re:こういった第三者(?)によるパッチって (スコア:0)
Re:こういった第三者(?)によるパッチって (スコア:0)
要約
なるべくご期待に沿えるようには努力するが
危険な状況などは自己責任で行ってください。
##承知で使っている方が悪いんですよ。
##だから公表するのです。
対策と対応
安全が確保するまで停止させ
Re:こういった第三者(?)によるパッチって (スコア:0)
Re:こういった第三者(?)によるパッチって (スコア:0)
>#ただ、防弾チョッキが壊れているの周知なので狙われないように注意して下さい。
はて、いつからWindowsは防弾チョッキになったのやら。
装甲車でも何でもない一般車で戦場走って被弾したらぼろぼろに
なったから、欠陥品だ、と言われてしょうがなくつけたちょっと
硬いガラスと丈夫なタイヤにまで
「一般車には普通、防弾ガラスにパン
Re:こういった第三者(?)によるパッチって (スコア:1, すばらしい洞察)
>戦場走って被弾した
これは「インターネットに繋いで攻撃された」事のたとえですよね。
その論法で行くと「MSは一般車を『戦場も走れますよ』と言って売っている」事になりますね。
Windows XP Home Edition 製品概要 [microsoft.com]なんかは
と言ってますが、あなたはこれを↓こういう意味だと言いたいわけね。
Re:こういった第三者(?)によるパッチって (スコア:1)
なんか、フレームの元を作っちゃいましたね…。
私が言いたいのは、
利用規約などで逆アセンブル等を禁止しているソフトウェアに
第三者がパッチを公開するのはどうなのか?ということです。
パッチ自体に問題がなくても、それを作成する過程で構造解析ぐらいはしているわけで…。
#言葉尻を濁すのはよくないですか…。
Firefoxのように (スコア:1)
> 自分たちでセキュリティパッチをリリース(ロシア語)したとのこと。
弁護するわけではないですが、
多分、M$は映画「FIREFOX」の戦闘機の弾を撃つように
ロシア語で考えていたら、先を越されてしまったのではな
いのかと。
#パッチを打つだけなのにね。
−・・ ・ ・ −・−・ ・・・・ −−−
手垢で汚れた少年漫画とソースの香りがいい感じ
Re:Firefoxのように (スコア:1)
「先輩、この仕様のこの部分が良く分りませんが?」
「分かるんじゃない!感じるんだ!修正されたソースの意味を!」
#ロシア版Windows 欲しい
#アラビア版Windows 欲しい
Re:Firefoxのように (スコア:1)
ただし、CDで要求して大量に送られてきても責任はもてません
ユニバーサルなインターナショナルだと、たぶん埋もれます
#なおMSDNは開発用途にしか使用出来ません、ご了承ください(苦笑)
んー。 (スコア:1)
マイクロソフトもこのパッチを考慮してパッチを作るとも思えないし…。
あっても怖くて使えない・・・ (スコア:2, 興味深い)
正直、今のDEPのみでさえ動作しなくなるデバイスドライバやアプリケーションが無数に存在するわけで、
この強化で更に動作しないドライバ、アプリケーションが発生する可能性があります。
Windowsロゴテストに合格しているものでも不具合が出る可能性は否定できないかと。
後は、このパッチによりどの程度の性能低下が発生するかですね。
Re:んー。 (スコア:1)
ロシア語はさっぱりなのでできるかどうか分かりませんが…
毎日使っているキリル文字 (スコア:2, おもしろおかしい)
屍体メモ [windy.cx]
毎日使っている数学記号 (スコア:1)
まぐろたべたい
毎日使っている半角英字 (スコア:1)
毎日使っている半角英字2 (スコア:0)
Re:んー。 (スコア:1)
良く聞くけど (スコア:0)
「銃をもった連中が街中で発砲しているぞ!」
「誰も死んでいないから危険は無い」
って言ってる自分で笑っちゃったりしないんだろうか...
Re:良く聞くけど (スコア:4, 参考になる)
というのは置いておいて,
原文では,Microsoftは脆弱性について述べた後で,
There is no attack that utilizes this, and customers are not at risk from the situation, in Microsoft's opinion.
ここは単に,アタックされた事実はない&その危険もない,と言っているだけで,事実はないから危険はない,と理由にしているのではないと思います.
日本語にしたら意味が変わっちゃったみたいな.
andの用法 (スコア:1)
この文単体では、どちらとも決めかねますが、なんとなく、「だから」が含まれている気がします。
//MSの英文は、曖昧なのが結構多いですからねぇ。
-- Buy It When You Found It --
Re:andの用法 (スコア:1)
また,A and Bは,AをすればBになるという因果関係を意味しますが,理由とはちょっと違う気がします.
You can tell me and I'll help you out.
は,言ってくれれば手伝うですが,言ってくれたことを理由に手伝う訳ではないと思います.
Re:良く聞くけど (スコア:1)
大佐:「ここの装甲板に穴が開いてるんだが大丈夫なのかね?」
技術者:「あたらなければどうということはありませんよ!」
って感じじゃないですか?
-- 星を目指さない理由は何もない -- 「MISSING GATE」by 米村孝一郎
Re:良く聞くけど (スコア:1)
偉い人にはそれがわからんのです。
#嫌。
--
「なんとかインチキできんのか?」
Re:良く聞くけど (スコア:1)
このパッチの (スコア:0)
今までより却って危険になった、なんて目も当てられないし。
#"Update"という名前のついたファイルなら時々メールに添付されてもらいますが、こちとら日常的に使っているOSがWinじゃないので、使いこともありません(w
部門名 (スコア:0)
ビ ル ゲ イ ツ
Re:部門名 (スコア:2, おもしろおかしい)
#臆病な臆病者
Re:そんなWindowsを使わなければいいのですよ (スコア:0)