Microsoft VMに8種類のセキュリティホール 66
ストーリー by yourCat
MSVMって久しぶりに聞いた 部門より
MSVMって久しぶりに聞いた 部門より
Microsoft VMに8つの脆弱性が報告された (MS02-069)。信頼されないJavaアプレットからCOMオブジェクトへのアクセスを許してしまう脆弱性が「緊急」レベルになっている。8つもあるので内容は各自確認して欲しい。対策としてMS VMのバージョンをビルド3809以上にするよう求めている。 なおこのネタはsixpeaceからタレコミがあった。
修正されたのは9月に発見された穴 (スコア:3, 興味深い)
対策として (スコア:1)
ま、私は関係ないからいいんですけど。
// Give me chocolates!
Re:対策として (スコア:2, すばらしい洞察)
MSの独自拡張でありましてー。
もしCOMを自由に呼べるなら当然のごとくそのマシンは
いじりほうだいなわけでー。
なんでローカルファイルアクセス等と同様のセキュリティが
かかっていないのか、と毎度疑問に思う次第。
従来から結構Java/COMがらみの脆弱性はよく出ていた印象があります。
Re:対策として (スコア:1)
個人的にも仕事的にも。
幸せなんでしょうかねぇ。
しかし、仕事関係で動かさなきゃいけない人たちは大変そうだなぁ、
って思わずにはいられません。
実際に付き合いのある所があるのでマジに心配です。
# まあ、それでも関わらないようにしますが。
# 後で取った対策だけは聞いておこう。
はすかわ
Re:対策として (スコア:1)
ひとつの言語処理系に複数の実装があるのはいいことだと思いますが、、、
use Test::More 'no_plan';
Re:対策として (スコア:0)
どちらかのみサポートの場合が多いと思います。
大抵IE標準のMS-JVMを採用し、あとからあとから
出てくるセキュリティホールで泣いてるのです。
第2パラグラフには賛成ですが、MSはそれを自社独占、
ひいてはJavaの破壊のために独自拡張を行ったことは
私は許せません。
Re:対策として (スコア:0)
どうなんだろう (スコア:1)
そういう言語環境でも既存のMS VMは使っていたりするのかな。
要らなきゃMSとしてもさっさと捨ててくれればいいんだけど。
他力本願。
Re:どうなんだろう (スコア:0)
現在サンは自社製VMをWINXPに付けろといい
それは今の段階では難しそうです。
[WSJ] MSへのJavaサポート義務付け、「仮処分は難しい」と判事
http://www.zdnet.co.jp/news/0212/09/xedj_sun.html
Re:対策として (スコア:1)
#そのくらい?
Re:対策として (スコア:0)
SUNの日本語対応はけして誉められたものではないのですが
日本人の活躍もあり、Versionを重ねるごとに良くなっている
と感じております。
あと「落ちる」という事象はそれ自体正しいこともあります。
なぜか動いてしまうということはその場限りの場合もあるという
ことです。どこのなんというお
Re:対策として (スコア:1)
つーか、M$製品使ってねーし(笑) (スコア:0)
IEは殆ど使いません。<全く信用してませんので信用する方が馬鹿を見ます。
よほど変なページでどうしてもという環境にならない限り起動しませんので…
それ以前にMacで確認してますけどね…
#Windowsはインタネットに繋がない状況で作業マシーンに徹するが一番!
Re:つーか、M$製品使ってねーし(笑) (スコア:1, フレームのもと)
とか偉そうに吹いておきながら、
・Netscape7.01より古いの使ってたり
・MacでまんまとIE使ってたり
・SunJavaVMが激しく古いままで放置されてたり
とかして目も当てられない罠。
Re:つーか、M$製品使ってねーし(笑) (スコア:0)
使える範囲も使えない部分も知ってますよ。
不安と最新の組み合わせより、安心感がある方を選択しているだです。
Javaを多様するページってそれ程多くはないですし
Re:つーか、M$製品使ってねーし(笑) (スコア:1)
うちのお客さんが構築してる取引用のWEBサイトが SUN の JVM じゃ動かないんですわ、MS のじゃないとうごかない。
しかも、MS-JVM ってなにがなんでも default gateway 経由でセッション張ろうとして proxy 通ってくれないんでこれがまた・・・
Re:つーか、M$製品使ってねーし(笑) (スコア:0)
Re:つーか、M$製品使ってねーし(笑) (スコア:1)
意外な所で使ってることってありそう・・。
念には念を入れて、Windows Updateくらいはしたほうがいいかもですね。
#まぁ217936さんはやってるかもしれませんが・・。
#怖いのはそんなことに興味がない人たちなんだし・・。
Windows Updateは時間掛かるねぇ (スコア:0)
危なくて怪しいところにはアクセスできないし
ベンチマークテストは出来ないし(笑)
#いま、42%完了だって・・・
WindowsUpdate経由でなく (スコア:5, 参考になる)
あ、落とせるのはWindows2000用のみか (スコア:1)
しかし緊急のわりにはアレだな。悠長な印象を受ける。
Re:あ、落とせるのはWindows2000用のみか (スコア:1)
せめて自社組織のサーバでミラーとかやってないんでしょうか??
各サーバに置いてあるファイルが表記バージョンは一緒で中身が微妙に違いそうで嫌ですが
Re:WindowsUpdate経由でなく (スコア:1)
ただし、ダウンロードのライセンス許諾がいろいろあるので、それが理解できる人だけどうぞ。
Re:WindowsUpdate経由でなく (スコア:1)
Re:WindowsUpdate経由でなく (スコア:1)
-----
Microsoft VM を更新する新しい VM のビルドは次の Windows のバージョンにインストールすることができます。
* Microsoft Windows 95
----------
ってあるけど、Win95+IE55sp2でWindowsUpdateしても落ちてこないんですけど…。
どーやって入れればいいんでしょうか。
(もっとも、Win95ではMS02-066 [microsoft.com]が入らんから、MS02-069だけ入っても意味ないんですけどね…。)
MS02-065(11月21日)が出てから一ヶ月も経ってないのに、現在071まで来てるってのはすごい。(皮肉じゃなくて)
セキュリティまわりの設計が甘かったのは過去の負の遺産ということで、頑張って対応してる、ってとこは
評価されるべきと思われ。(パッチ当ててるこっちも大変だけど)
以後これに懲りて、最初からセキュリティを考慮した設計にしてもらいたいものです。
win95+IE55sp2 (スコア:1)
MS02-065は入れれなかったが...
MS02-069は「98以上でダウンして入れろ」って事らしい。
ここに詳細を書いといた [sakura.ne.jp]
Re:WindowsUpdate経由でなく (スコア:0)
WindowsUpdateの方はどうするかねぇ(^^;
#217986のAC
みんな気にするなよ (スコア:0)
#クリスマスウィルスネタだろうか?
WindowsUpdateが (スコア:0)
こういう時に役に立たないでとーするんだ。おぃ!
Re:WindowsUpdateが (スコア:2, すばらしい洞察)
信用できるサイトには助けを求めるべきだよね…。
それこそ、http://www.ring.gr.jp/ や http://www.vector.co.jp/
にセキュリティーパッチだけでもおいてあったらずいぶんと負荷分散できるしみんな助かるよなぁ…。
そのうちセキュリティーパッチはP2Pでそばのマシンからとるようになるよねきっと、署名ファイルだけMSのサイトで確認するような仕組みになるんじゃない?
# 数学は科学の女王にして奴隷
Microsoftは「証明書の信頼された発行元からMicrosoft (スコア:4, おもしろおかしい)
プッ!
パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する [nikkeibp.co.jp]
Re:WindowsUpdateが (スコア:0)
してないのかな?
金を信じても人を信じるような所じゃないので...
Re:置くなら (スコア:1, すばらしい洞察)
それを言い出したら何もできない罠。
あなたが紙幣を必ず透かしてから受け取るタイプなら別。
Re:置くなら (スコア:1)
Winny はそんな感じのことしてたと思うが、違うか?
疑わしいなら自分のマシンで計算すりゃ良いだけだよね。
(それでも元がおかしければ全く意味がないんだけどさ)
(´д`;)
Re:WindowsUpdateが (スコア:2, おもしろおかしい)
(´д`;)
えー? (スコア:1)
(´д`;)
Re:えー? (スコア:1, おもしろおかしい)
Re:えー? (スコア:1)
しかし大半のデータが WinMX と Winny によるエロ画像
だったとしたら、それは取っておくべきだろうか?
# CD-R か DVD に焼くべき。(お
(´д`;)
Re:WindowsUpdateが (スコア:1)
>CD を入れて再起動して全部フォーマットしてから
>インストールすると良いと思うよ。(笑)
ダメさ。RedHat7.3にしなきゃ。
やつのリビジョン0は使えないから。
Windows XPよりやばいかも。
PCにECC Registeredメモリの利用を推奨します。
Re:WindowsUpdateが (スコア:1)
5.0 が出たら 5.2 を待ち、6.0 が出たら 6.2 を待ち続けました。
7.2 が出たときは x.2 になった、と喜んで入れたのですが、7.3 が出てしまい、x.2 を使えといわれていたのは何だったんだろうなあ、と首をかしげたことがあります。
Windows も「バージョン3までは使い物にならない」と言われていたので、似たもの同士なのでしょうか。
Re:WindowsUpdateが (スコア:1)
# まあ、次々と新バージョン出てくるから
# なんとなくそんな感じはしていたが。
(´д`;)
Re:WindowsUpdateが (スコア:1)
# 一体原因は何だったんでしょうね(笑)
-- 哀れな日本人専用(sorry Japanese only) --
Re:WindowsUpdateが (スコア:1)
じゃあ俺もやってみよっと。(お
(´д`;)
Re:WindowsUpdateが (スコア:2, 興味深い)
会社のゲートウェイがWindowsUpdateによる負荷の集中のためにこけました. 社外との通信が2~3時間ほど止まったのですが, 影響は数千人程度じゃ収まらないんで, 実被害はすごい値になったはずです.
こういうのもWindowsUpdateによるTCO削減の計算には入れないといけないですね.
Re:WindowsUpdateが (スコア:1)
Win2000/XP ユーザしか使えませんが、それでも不可を押さえることが出来ます
って、SUS サーバのマシン要件ってすげーハイスペックっすね。
Re:WindowsUpdateが (スコア:2, 参考になる)
大丈夫です。サーバルームの実験マシンに絞って10台程度
serveしてますが、問題なし。たぶんもう100台はいけるはず。
あの推奨スペックは15000クライアントを前提としてるので、
すごい数字になっています。
でもそんな数を本気で管理するならSMSだろう、と。
(=System Management Server)
SUSはwindows update本体でのパッチリリースよりも
配布が数日遅れがちなので、せっかちな人には×かもです。
管理画面開いて自分で配布許可しないと、クライアントに
ながれないのでつい忘れがち。
Re:WindowsUpdateが (スコア:1, 興味深い)
Re:WindowsUpdateが (スコア:0)
経路が混んでるだけじゃないですか?
それとも、40分間で輻輳は解消されたんでしょうか。
Re:WindowsUpdateが (スコア:0)
テレホタイムなんじゃないかと
常時接続が増えているけど未だにダイアルアップもいるわけで..
モデムなんかだとキレそうになるだろうに...
Re:WindowsUpdateが (スコア:0)
ダウンロードするまで長い感じでしたね
ゲーツの所って.co.jpが
昔あったと思うがミラーに使えば渋滞対策になるだろうに
日本代理店がダメ臭いので大本営で管理するようには
なったのですがね。