Windows XP, Vista 等にゼロデイ攻撃ありの深刻な脆弱性 55
ストーリー by yoosee
はやく直りますように… 部門より
はやく直りますように… 部門より
ITmedia記事 Windowsに深刻な脆弱性、ゼロデイ攻撃も発生 によれば、Windows Vista, XP SP2, 2000 SP4, Server 2003/SP1 に深刻な脆弱性が見つかり、Microsoft がアドバイザリ 935423を発行した。アニメーションカーソルファイル(拡張子 .ani) を処理するコードに脆弱性があり、ウェブサイトやメール添付ファイルを通じた攻撃が可能となっている。攻撃コードは掲示板に掲載され、広範囲のゼロデイ攻撃が始まっていると考えられる。
ウェブベース攻撃への対処方法は、(1) Firefox 2.0 を使う、(2) Vista で IE7 を使う、などが有効と推定されている。この脆弱性について Secunia は Extremely Critical と位置付けて警告している。
Vista/IE7の保護モードとIME (スコア:5, 参考になる)
この保護モードで動作中のIE7上では、IMEでユーザ辞書が使用できないという、個人的には噴飯ものの仕様になっています。
登録した単語を Windows Vista の Internet Explorer 7.0 で使用できない [microsoft.com] この「回避策」に従って、日本のユーザが自分の訪問するサイトをかたっぱしから「信頼済みサイト」に登録していないか、とても心配です。もちろん、その直下に と警告されていますけど……。
ユーザ辞書には個人情報がかなり含まれているでしょうから、保護するのも分からないわけではありません。
しかし、日本語入力環境にてIMEのユーザ辞書がどれほど重要なのか、Microsoftは理解していないように思います。
この仕様には疑問を感じざるを得ません。
Re:Vista/IE7の保護モードとIME (スコア:1)
さすがに、オプションかなんかで使えるようにできるってくらいの仕様でいいと思いますが。
# 大学のとあるテキストで「校生曲線」ってのがあった。
# 先生、テキスト作りながら女子高^h校生について調べてたのかなぁ、と疑ってしまった。
1を聞いて0を知れ!
Re:Vista/IE7の保護モードとIME (スコア:0)
KBには
って書いてるじゃん。「悪意のあるプログラム」ってまさに今回のexploitを攻撃するようなプログラムのことでしょ。単に個人情報の問題で隔離してるわけではない。
ちなみにATOK 2007だとIE7の保護モードでも単語登録できるみたいです。裏を返せば、ATOK 2007を使ってる場合Vista + IE7でも今回のような攻撃から保護されないかもしれないということですが。
Re:Vista/IE7の保護モードとIME (スコア:1)
こんな言葉を理解したつもりにならない限り、「なんだか知らないけど、信頼済みサイトに登録しないと
自分で辞書登録した単語は出て来ないんだって」という voodooistic な理解に陥ってしまうんでしょ?
一般人はおとなしく XP で Firefox 2.0 を使っている方がいいらしい。
Re:Vista/IE7の保護モードとIME (スコア:1)
「KBなんか一般人は見ねーだろ」と思っているからなのか機械翻訳されたものがほとんどです。
こうなるとMSKKが何のために存在しているのかがさっぱりわからない。
# 製品を売るための部隊とサポート要員だけ?って気がしてくる。
技術的なことはMSに任せっぱなし、MSKKではほとんど行なっていないようです。
ちゃんとしたサポートがほしけりゃインシデント払えってことなんでしょう。
お灸をすえたいので (スコア:3, おもしろおかしい)
PCが遅いとか、そのせいで提出期限が守れないとか
ぬかしてる奴らにお灸をすえてやりたいので
どなたかexploit codeを教えてください。
文句言ってきたら
「マウスカーソル変えて遊んでる暇があったら、仕事しろ。
アニメーションカーソルにしたら重くなるだろ。
標準のにすれば重くなくなって仕事も速くなる」
と言い返してやりたいのです。
Re:お灸をすえたいので (スコア:2, すばらしい洞察)
遊んでないで仕事しろと言える立場の人。
両者が自分の中では一致しない。
Re:お灸をすえたいので (スコア:1)
--
#GUIなんか使うから遅くなるんだ!
Re:お灸をすえたいので (スコア:0)
Re:お灸をすえたいので (スコア:0)
関連ストーリー(嘘) (スコア:2, すばらしい洞察)
Re:関連ストーリー(嘘) (スコア:2, すばらしい洞察)
売り物のOSの中では、Windowsはセキュアなほうになっているのは間違いない様子。
脆弱性が見つかっただけで全否定するような単純思考による批判に晒されているうちに
いつのまにかここまで来てます。
ただし、悪用されることが多いので、「深刻な脆弱性」と扱われる数はWindowsが
一番多いというオチがついていますがね。
Re:関連ストーリー(嘘) (スコア:1, すばらしい洞察)
これはミスリードですか?
リンク先の記事には、
とありますので、悪用された脆弱性が多かったのもWindowsで、
深刻な脆弱性が多かったのもWindowsなのではないでしょうか。
Re:関連ストーリー(嘘) (スコア:0)
いいえ。ミスリードはあなた。
>>エクスプロイトコードが出回ったり、攻撃者に利用された脆弱性が最も多かったのもWindowsだった。
>とありますので、悪用された脆弱性が多かったのもWindowsで、
>深刻な脆弱性が多かったのもWindowsなのではないでしょうか。
「とありますので」と書いてありますが、ぜんぜん解釈に結びついてません。
・エクスプロイトコードが最も多かったのはWindows
・攻撃者に利用された脆弱性も最も多かったのもWindows
としか書いていませんよ。
何が「深刻な脆弱性」となるか考えてみればわかります。
被害を受ける人が多い、容易に攻撃が成立する、ダメージが大きいなどを
総合して「深刻かどうか」が変わってくるんです。
Windowsは被害を受ける人が多く、今回のように攻撃コードが出回っていて
既に攻撃が行われているものは必然的に「深刻」になるんです。
Re:関連ストーリー(嘘) (スコア:2, 参考になる)
冒頭に、 とはっきりと書いてある。 そういうあなたの脆弱性の深刻度の考え方が「深刻」です。
Re:関連ストーリー(嘘) (スコア:1)
Re:関連ストーリー(嘘) (スコア:0)
既に組織や自社商品に対する認識の甘さとしての脆弱性が存在しており、
今の状況だと対応不能だと暗黙のうちに意志表明しているのかと思っていたが
Re:関連ストーリー(嘘) (スコア:1)
まあ、さすがに社内からも批判されているようですが…
*.aniの脆弱性 (スコア:1, おもしろおかしい)
Re:*.aniの脆弱性 (スコア:1)
Re:*.aniの脆弱性 (スコア:3, おもしろおかしい)
常識的に考えて、それは「おにいちゃん」の脆弱性だろ?
この脆弱性への根本的対策として (スコア:1, すばらしい洞察)
要約すると (スコア:1)
#壮大なストーリ。空転するアイディア。
firefox 1.5はどうなの? (スコア:0)
選択肢 (スコア:0)
隊長!(3)として Windowsを使わない という選択肢を追加し、これを最も有効な対処方法として推薦します!
Re:選択肢 (スコア:0)
XPオリジナル、SP1では問題なしって一体…?
Re:選択肢 (スコア:0)
影響の有無チェックすら実施してないのでは?
Re:選択肢 (スコア:0)
Re:選択肢 (スコア:3, 参考になる)
まぁそういう私もセキュリティホールmemo [ryukoku.ac.jp]から見に行った
だけなのでえらそうなことはいえないけども。
探せばすぐに見つかるものなんだから、間抜け面していないで
聞く手間でさっさと探せよみたいな。
以下がITMediaの記事でXP SP1について触れている部分。
>この問題を指摘したセキュリティソフトメーカーのMcAfeeは、
>完全にパッチを当てたWindows XP SP2で動作するIE 6と7で
>脆弱性を確認したと報告。
>Windows XPとSP1、Firefox 2.0は影響を受けないようだという。
で、このMcAfreeが報告したってのは、以下の記事で。
Unpatched Drive-By Exploit Found On The Web [avertlabs.com]
> Preliminary tests demonstrate that Internet Explorer 6 and 7 running
> on a fully patched Windows XP SP2 are vulnerable to this attack.
> Windows XP SP0 and SP1 do not appear to be vulnerable, nor does Firefox 2.0.
> Exploitation happens completely silently.
適当に直訳してみる。
----
予備段階のテストは、完全にパッチを当てられたWindowsXP SP2の上で動作するIE6と7で
この攻撃には脆弱なことを示しています。
WindowsXP SP0とSP1は脆弱性を示していませんし、
Firefox 2.0も同じ(で安全)です。
----
SP0ってのはSPを全く当てていないものかと。
こうなると、XPSP1のあたりで入り込んだ脆弱性ですかねぇ。
MicrosoftのアドバイザリにはXP SP1については全く触れられていないのは
サポート範囲外だから載せていないのか、テスト結果で問題ないことが分かっているのか
説明されていないので、まぁ分かりにくいっちゃ分かりにくいことは確かです。
Re:選択肢 (スコア:0)
→ 不義理・不面目なことなどがあって、その人の家に行きにくい。
Re:選択肢 (スコア:1)
Re:選択肢 (スコア:0)
簡単なHTMLとスタイルシートで検証してみましたが、Firefox は元々アニメーションカーソルはサポートしてないみたいですね。
マルチプラットフォーム対応だからWindows依存のファイルはサポートしないのかな・・・でも.curは対応してますし、このあたりの仕様がよくわかりません。
Windowsは欠陥OS (スコア:0)
昔からある拡張子偽造でどういう訳か
シンクロ率400%でまぁ大変ってのがよくある事ですが
今回もあれじゃないんですかね?
拡張子ってWindowsではあまり重要ではなくて
一端読んでから中身で判断して動かす構造なんじゃないですかね?
摩訶不思議な現象に遭遇する度に頭を過るのですが実際はどうなんでしょうか?
Re:Windowsは欠陥OS (スコア:3, 参考になる)
ただ、アプリケーションがデータを読み込んだ後の処理に問題があります。
少なくともIE、Explorer辺りは"拡張子を無視して独自に解釈しデータ構造に合う形で展開する"という機能がついています。
text/plainなのにtext/htmlとして解釈したり、image/gifとして解釈したりなんて日常茶飯事です。
便利になったがゆえに間違いが起こる確率が高くなった。という感じがします。
Re:Windowsは欠陥OS (スコア:0)
Re:Windowsは欠陥OS (スコア:0)
プログラムは人の意思、仕様とか勝手に読み替えてください
Re:苦労が絶えないね (スコア:2, すばらしい洞察)
また、そこまでしても使う価値がWindowsにあると、どうして思わないのでしょうか?
# どっちも私用では使ってないですがね。
Re:苦労が絶えないね (スコア:1, すばらしい洞察)
Re:苦労が絶えないね (スコア:4, すばらしい洞察)
Re:苦労が絶えないね (スコア:3, すばらしい洞察)
# ネタにマジレスでしたか?
Re:苦労が絶えないね (スコア:1, 興味深い)
少なくとも「比較検討した結果」とか「Windowsの方が明らかにセキュアなのが証明されてるから」
とかいう理由じゃないですよねえ。
Re:苦労が絶えないね (スコア:0)
Re:苦労が絶えないね (スコア:0)
Re:苦労が絶えないね (スコア:1, すばらしい洞察)
マックだってえげつないウイルスに苦しんできたのにねぇ
Re:苦労が絶えないね (スコア:0)
存在はしても流行はしてない。
それは純然たる事実。
だから詐欺でもなんでもない。
えげつない言いがかりだこと。
確かに (スコア:0)
存在はしても流行はしてない。
それは純然たる事実。
…あれ?何の話でしたっけ。
Re:確かに (スコア:0)
おまえのように他人と同じじゃなきゃ不安なお子様には分からんだろうが
Re:確かに (スコア:0)
Re:苦労が絶えないね (スコア:0)
それをもって日本にもインドと同等にエイズの危険性があるとはいえないのでは?
Re:苦労が絶えないね (スコア:1)
を見ると、「MacのOSは平気。君みたいに心配する必要はないんだ」と言ってますね。
「君みたいに=PCみたいに」心配する必要がないと言ってるだけで、それは正しいのでは?
たとえそれが堅牢性ではなく、シェアの少なさによるものだとしても。