Windows NT4/2K/XPのカーネルメッセージ処理に脆弱性 53
ストーリー by yourCat
不正昇格 部門より
不正昇格 部門より
Anonymous Coward曰く、 "Windows カーネルのメッセージ処理のバッファオーバーランを利用して、任意のローカルユーザが権限の昇格 (Administrator権限の奪取) ができてしまうセキュリティー・ホールが発見されました (MS03-013、日本語のMS03-013 (翻訳の途中という感じです))。影響があるのはWindows NT 4.0/2000/XPで、WindowsUpdateを利用してアップデートをおこなうか、Security Patchをダウンロード後、パッチあて作業をして対応します。"
yosshy 曰く、 "以前、Linuxカーネルのデバッグ用コードに脆弱性が発見された事があり、今回の件と似ている。デバッグ機能というのは便利な半面、こうした危険性が伴うものなのかと考えさせられる。"
不具合? (スコア:5, 参考になる)
Q811493障害報告スレッド [winfaq.jp]
ん? 俺、今何か言った?
Re:不具合?(オフトピ) (スコア:0)
もっとオフトピですが、 (スコア:1)
ってしてもよさそうですね。
頻度から言えば。
Re:不具合? (スコア:0)
セキュリティーホールmemo [ryukoku.ac.jp]より ということらしいです。
デバッグ機能って (スコア:1, すばらしい洞察)
バックドアなんかもデバッグ用途っぽいし、デバッガ用機能なんか他のプロセスにやりたい放題だったり。
あとは、慌てて作ってるとか使用者限定だから、パラメタ等のチェック等はあまいというかいちいちしなかったりとか。
リリース版からは極力除かれているべきと思う。
Re:デバッグ機能って (スコア:1)
それがどんな影響をもたらすかは、よほどのヘボでもない限り作ってる本人も重々承知しているはずなのだが…
わかっちゃいるけど、やめらんね…ってやつか。
それとも、デバッグ用コードをプリプロセスで除去できない書き方で書いといて、除去が面倒になったから放置してたとか。
# ACなのでAC
Re:デバッグ機能って (スコア:1)
そこに書いてあったこんなような(うろ覚えby俺)文面を見て、膝を打ちました。
「デバッグした正にその版と同一でない版を、信頼して出荷することなんて、出来ない。」
たしかに、それはそれで至言だなーと。
余談:
そういやJavaVMって、(http://java.sun.com/j2se/1.4.1/docs/guide/jpda/の)デバッガから
アクセス可能なようにOption指定して起動すると、パスワードを表示するんじゃなかったっけか?
つまり、正当なデバッガならばこのパスワードをもってアクセスせよ、と。
Re:デバッグ機能って (スコア:0)
Re:デバッグ機能って (スコア:2, おもしろおかしい)
パッチ多すぎ (スコア:0)
今日もまたパッチだと思ったらこの記事。
えらいOSが世界標準になったもんだと本気で思います
世界標準? (スコア:2, おもしろおかしい)
え? ウィンドウズをユーザはどこからのアクセスが一番多いかって? えーと、192.168.1.5。
(´д`;)
それが世界の選択? (スコア:1)
一番多いサクセスは・・・192.168.0.2・・・・・・。
李 露星
Re:それが世界の選択? (スコア:1)
うちのサーバでは
10.0.0.0/24 Linux 80% / Solaris 15% / Windows 5%
10.1.0.0/24 Windows 100%
10.2.0.0/24 Linux 70% / Windows 30%
PCにECC Registeredメモリの利用を推奨します。
Re:それが世界の選択? (スコア:1)
[udon]
Re:世界標準? (スコア:1, おもしろおかしい)
Re:世界標準? (スコア:0)
元ネタは こちら [monyo.com] ですね。
# おそらく相当数の人が知ってる話だと思うのでAC
プププ (スコア:1)
(´д`;)
Re:パッチ多すぎ (スコア:1, おもしろおかしい)
私のところでもインストールしてもう1年近く経ちますが
Windowsと違って「パッチをあてろ」だなんて
一度たりとも言ってきたことはありません。
Re:パッチ多すぎ (スコア:2, すばらしい洞察)
ホールへの対応が早くなって、パッチを充てるように
広報するようになったら、今度はパッチ多すぎかぁ。
面倒な人は月に一回まとめて入れればいいんじゃない?
WindowsUpdateが出来る前だけど、hotfixを毎朝巡回して
全部のマシンに入れて回るようなマメな事をする人は
ほとんどいなかっただろうし、まってりゃ年1くらいで
サービスパックでまとめて出るし。
>Windowsと違って「パッチをあてろ」だなんて
>一度たりとも言ってきたことはありません。
linuxの方でも続々とパッチもしくはVersionUpは
されてるけど、パッチを充てること要求されることは
ないね。
自分でちゃんとやらんとね
#愚痴っぽくなったけどすっきりしたからID
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:パッチ多すぎ (スコア:0)
パッチを当てろなどと宣うことはありませぬ。
…当てるな、とも言わないけど。(w
#ネタスレ化してる…。
Re:パッチ多すぎ (スコア:1)
Re:パッチ多すぎ (スコア:1)
/.でも報告されているようなパッチをその都度あてていたのでは、はっきり言って仕事にならないというか何やってるのだかわかりません。でも、そのあたりは大丈夫で、ウチのシステム統括は技術的なことはさっぱり分かりません。上記のパッチ適用よりも、以前ここで報告されたVMの脆弱性 [srad.jp]のほうがよっぽどシビアだと思って、いやいやながらシステム統括に報告したのですが、やはり反応がありませんでした。
閑話休題、最近、新入社員のための研修を行っていますが、コンピュータ教育関係の資料を見ていたら、「コンピュータは重要な情報資源なのでセキュリティ確保に留意しましょう」という一節がありましたが、いまの現状を見ていると、これ自体が「セキュリティホールの固まり」ではないかと思えてなりません。
QChainを使えば (スコア:2, 参考になる)
picardさんのシステム統括さんはご存知ないのでしょうか。それとも使いにくくてわからないとか・・・。 /.で出てくるのは重要か緊急のパッチだと思うので、その都度あてるくらいの気持ちでないと大変かも知れません。あてる気持ちだともっと大変ですが(乾笑) 同感です。 特にWindowsPCについてそのような気持ちが起きてなりません。 #仕事OSがWindowsなので... 早くTrustworthyを実装してくれないかという気持ちでいっぱいですw
/.configure;oddmake;oddmake install
Re:QChainを使えば (スコア:1)
信頼性のあるシステムって「実装すればぱっと出現する」もんじゃないですよ。
第一、信頼性を損なう最大の要因はパソコンと椅子の間にありますし。
唯一の可能性は、TeXと同様のバグ報告システムを宣言することですかね。つまり、
「バグを報告したら賞金がでる」、「最初は安いがバグが見付かるごとに賞金は
2倍になる」という方式。信頼性あがりまっせぇー。
#TeXの場合、初期値1ドルでしたっけ?最大いくらぐらいまでなったのかな。
Re:QChainを使えば (スコア:2, 参考になる)
(ほんとはちゃんと調べてから書くべきなんでしょうけどちょっと時間がおしているのでご勘弁。)
でも、MSに限らずそんなこと始めたらあっという間に破産する人が大半でしょうね。私なぞ地上すべての金を支払っても足りなくなりそう。
TeXの善し悪しについてはあえてふれませんが、その辺Knuth氏はすごいと思いますね。
Re:QChainを使えば (スコア:1)
『ほとんどの人は記念に取って置いているので、
実際にKnuth先生の出費は然程ではない』
と聞きおよんでおります。ホントかよ。
ゲイツくんだとみんな速攻で換金しそうだな....
Re:QChainを使えば (スコア:1)
案外いろんな人が協力してくれる可能性があるのでは・・・。
# 数学は科学の女王にして奴隷
Re:QChainを使えば (スコア:0)
ある特定のOSの問題とは別のハナシだと思いますが。。。
そんなことしたら (スコア:0)
その前に、セキュリティホール無くなるまで出荷しない=新製品は10年に1回
になってしまうかも?
Re:そんなことしたら (スコア:0)
だいたいシステムのリプレース期間って5年以上だから途中で端末増やそうとすろと該当するOSが手に入らなくて大変なんだよなぁ。
ダウングレードが簡単じゃない場合も多いし。
Re:パッチ多すぎ (スコア:1)
多くなりすぎて、しまいにはコントロールパネルが
バッファオーバーフローを起こしたりして。
そしてその脆弱性を狙う攻撃も一般化する、と。
...ってWindows Updateを成りすませられるんだったら
何でもできるじゃん。
Re:パッチ多すぎ (スコア:1)
>いまの現状を見ていると、これ自体が「セキュリティホールの固まり」ではないか
そりゃそうでしょう。
情報ってのはもともと、それが移動できるってところに最大のメリット(というかそれ以前に存在意義)が有るわけで、
一方でセキュリティ穴ってのはその移動能力ゆえに(意味のあるかたちで)存在し得ているわけですから。
情報の機能性と穴とは表裏一体っす。
元文にあるようなデバッグ仕掛絡みの穴もまさにそれですね。
善意のユーザー(や開発者)にとっては、中の情報までアクセスできることが非常に有りがたくて、
一方で悪意のある奴にとっても、非常に有りがたいわけです(笑)。
Re:パッチ多すぎ (スコア:1)
IE6を入れさせようとするのはうざったいんだなぁ。
表示チェック用にわざとUpdateしないマシンもあるちゅーの。
サポート切るまではユーザーの選択に任せて欲しいです。
#組込のこと考えたら、パッチ適用は甘えなんだろうなぁ。
AMIGA4000T(60/50)使い
アップデートの選択 (スコア:2, 参考になる)
『Windows Update に表示するカテゴリおよび更新を選択します』をすると、
自分が要らないものを非表示に出来てます。
自分は、外国語サポートを非表示にしています。
以上参考まで。
Re:パッチ多すぎ (スコア:0)
Windows Updateの比ではなかったが。
Re:パッチ多すぎ (スコア:1)
(カーネルの時は早目に起動チェックしてね、とでますが)
%% カーネルだと NVidia のドライバ入れ直しが面倒だけど。
の
Re:パッチ多すぎ (スコア:0)
「セキュリティ」の高低と関係があるのですか?
Re:パッチ多すぎ (スコア:1)
特に実運用しているサーバとかだったら、安易に再起動なんてかけられません。この場合、運用状態でもセキュリティパッチが行えるか否かは大きな違いになります。
まあ、普通に考えて、何度も再起動している間使えなくなるのは嫌でしょ。嫌だと、手間を省こうとするのが人情で、そうするとセキュリティは疎かになります。
と言うように、手間とセキュリティにはトレードオフの関係があります。
の
Re:パッチ多すぎ (スコア:0)
パッチを当てりゃいいだけかと
並列動作にしてないとTake overで5分こえちゃうからどっちにしてもダメだが
Re:パッチ多すぎ (スコア:0)
その場合パッチ提供側の手によって、再起動なしでアップデートが完結するということのテスト工程が増えることになりますよね?
まあ、普通に考えて、何度もテストしている間パッチ提供できないのは嫌でしょ。嫌だと、手間を省こうとするのが人情で、そうすると利便性がは疎かになってるんじゃないですかね?
でも実際問題として、現在の Microsoft の怠慢というよりは、過去から続く OS の設計上の問題かもし
Re:パッチ多すぎ (スコア:0)
Re:パッチ多すぎ (スコア:0)
なくなった経験がないこと、どうせデスクトップ機は毎日起動/停止
していることから、再起動の手間に対する抵抗はないですね。
Re:パッチ多すぎ (スコア:2, 参考になる)
直近の例では、MS03-007
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-007.asp
のように、特定のバージョンのものに導入すると起動しなくなるような罠入りパッチもあります。
マラソンで二位を抜いたら何位?
Re:パッチ多すぎ (スコア:0)
Re:パッチ多すぎ (スコア:0)
Re:パッチ多すぎ (スコア:0)
Re:パッチ多すぎ (スコア:0)
カーネルアップデートできないんだよなあ。困った。
Re:パッチ多すぎ (スコア:1)
Re:パッチ多すぎ (スコア:1)
そういやUnix(Linuxとか)だとどうなんでしたっけ?パッチ当てても再起動要らない奴って有るんでしたっけ?
Javaとかだと、OSじゃないけどアプリサーバーなんかではしばしば、
Classの動的なLoad/Unloadをサポートしてる奴が有るようですよね。
たぶんClassを1個づつ狙い撃ちして交換することが出来るんだろうなあ。
#そのClassによって作られたInstanceの立場がどうなるのかはよく知りませんが(笑)
余談:
だからVirtualMachineなんだってば。Javaの「アプリを」終了するたびに「VMごと」終了するってのは
アプリ落とすごとにOSをシャットダウンしとるのと同じだぞ。勿体無い。
デスクトップ用でもサーバー用と同様に、VMは上げっぱなしにして、
必要に応じてアプリのClassのLoad/Unload(やInstanceのnew/削除)をするほうが、
パフォーマンスは絶対よくなるぞ。
Re:パッチ多すぎ (スコア:0)