パスワードを忘れた? アカウント作成
15023 story

Windows XP, Vista 等にゼロデイ攻撃ありの深刻な脆弱性 55

ストーリー by yoosee
はやく直りますように… 部門より

vn 曰く

ITmedia記事 Windowsに深刻な脆弱性、ゼロデイ攻撃も発生 によれば、Windows Vista, XP SP2, 2000 SP4, Server 2003/SP1 に深刻な脆弱性が見つかり、Microsoft がアドバイザリ 935423を発行した。アニメーションカーソルファイル(拡張子 .ani) を処理するコードに脆弱性があり、ウェブサイトやメール添付ファイルを通じた攻撃が可能となっている。攻撃コードは掲示板に掲載され、広範囲のゼロデイ攻撃が始まっていると考えられる。
ウェブベース攻撃への対処方法は、(1) Firefox 2.0 を使う、(2) Vista で IE7 を使う、などが有効と推定されている。この脆弱性について Secunia は Extremely Critical と位置付けて警告している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by T.Sawamoto (4142) on 2007年03月31日 0時02分 (#1135003)
    ITmediaの記事中で
    同社によれば、Windows VistaでInternet Explorer(IE)7を使っている場合は、IE 7の保護モードにより、現在報告されているWebベースの攻撃からは守られる。
    とありますが、これは多分、「信頼済みサイト」に登録していないサイトを表示するときに働くものですよね?

    この保護モードで動作中のIE7上では、IMEでユーザ辞書が使用できないという、個人的には噴飯ものの仕様になっています。
    登録した単語を Windows Vista の Internet Explorer 7.0 で使用できない [microsoft.com]
    この問題を回避するには、Internet Explorer 7 の [信頼済みサイト] にユーザー辞書を利用して登録済み単語を入力するサイトを登録します。
    この「回避策」に従って、日本のユーザが自分の訪問するサイトをかたっぱしから「信頼済みサイト」に登録していないか、とても心配です。もちろん、その直下に
    以下の手順を実行すると、セキュリティ リスクが高まるおそれがあります。また、悪意を持ったユーザーまたはウイルスなど悪質なソフトウェアによる攻撃をコンピュータまたはネットワークが受けやすくなる場合もあります。これらの変更を行う前に、記載された回避策を現在の環境に適用した場合の危険性を評価することをお勧めします。
    と警告されていますけど……。

    ユーザ辞書には個人情報がかなり含まれているでしょうから、保護するのも分からないわけではありません。
    しかし、日本語入力環境にてIMEのユーザ辞書がどれほど重要なのか、Microsoftは理解していないように思います。
    この仕様には疑問を感じざるを得ません。
    • とはいえ、実際の所、かなり重要な個人情報だしなぁ。。
      さすがに、オプションかなんかで使えるようにできるってくらいの仕様でいいと思いますが。

      # 大学のとあるテキストで「校曲線」ってのがあった。
      # 先生、テキスト作りながら女子高^h校生について調べてたのかなぁ、と疑ってしまった。
      --
      1を聞いて0を知れ!
      親コメント
    • ユーザ辞書には個人情報がかなり含まれているでしょうから、保護するのも分からないわけではありません。

      KBには

      これは、悪意のあるプログラムがユーザー辞書を利用して異なる整合性レベルのアプリケーションへ影響を及ぼす可能性を排除するための、セキュリティ上の仕様です。

      って書いてるじゃん。「悪意のあるプログラム」ってまさに今回のexploitを攻撃するようなプログラムのことでしょ。単に個人情報の問題で隔離してるわけではない。

      ちなみにATOK 2007だとIE7の保護モードでも単語登録できるみたいです。裏を返せば、ATOK 2007を使ってる場合Vista + IE7でも今回のような攻撃から保護されないかもしれないということですが。

      • 「異なる整合性レベルのアプリケーション」って、一般ユーザ向けの説明としてはひどい文言だなあ。
        こんな言葉を理解したつもりにならない限り、「なんだか知らないけど、信頼済みサイトに登録しないと
        自分で辞書登録した単語は出て来ないんだって」という voodooistic な理解に陥ってしまうんでしょ?

        一般人はおとなしく XP で Firefox 2.0 を使っている方がいいらしい。
        親コメント
        • MSKKの日本語訳の酷さは今にはじまったことではありません。
          「KBなんか一般人は見ねーだろ」と思っているからなのか機械翻訳されたものがほとんどです。
          こうなるとMSKKが何のために存在しているのかがさっぱりわからない。
          # 製品を売るための部隊とサポート要員だけ?って気がしてくる。

          技術的なことはMSに任せっぱなし、MSKKではほとんど行なっていないようです。
          ちゃんとしたサポートがほしけりゃインシデント払えってことなんでしょう。
          親コメント
  • お灸をすえたいので (スコア:3, おもしろおかしい)

    by misarin (7744) on 2007年03月30日 17時49分 (#1134826) ホームページ 日記
    会社の非力なPCの壁紙やらマウスカーソルやらを変えて処理を重くして
    PCが遅いとか、そのせいで提出期限が守れないとか
    ぬかしてる奴らにお灸をすえてやりたいので
    どなたかexploit codeを教えてください。

    文句言ってきたら
    「マウスカーソル変えて遊んでる暇があったら、仕事しろ。
     アニメーションカーソルにしたら重くなるだろ。
     標準のにすれば重くなくなって仕事も速くなる」
    と言い返してやりたいのです。
    • Re:関連ストーリー(嘘) (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2007年03月30日 16時45分 (#1134779)
      Symantecの商用OSに対する調査報告 [cnet.com]が、そのMS幹部の言葉を裏づけしていますよね。
      売り物のOSの中では、Windowsはセキュアなほうになっているのは間違いない様子。

      脆弱性が見つかっただけで全否定するような単純思考による批判に晒されているうちに
      いつのまにかここまで来てます。

      ただし、悪用されることが多いので、「深刻な脆弱性」と扱われる数はWindowsが
      一番多いというオチがついていますがね。

      親コメント
      • Re:関連ストーリー(嘘) (スコア:1, すばらしい洞察)

        by z_cubic (20952) on 2007年03月30日 18時12分 (#1134841)
        > 悪用されることが多いので、「深刻な脆弱性」と扱われる

        これはミスリードですか?
        リンク先の記事には、
        エクスプロイトコードが出回ったり、攻撃者に利用された脆弱性が最も多かったのもWindowsだった。
        とありますので、悪用された脆弱性が多かったのもWindowsで、
        深刻な脆弱性が多かったのもWindowsなのではないでしょうか。
        親コメント
        • >これはミスリードですか?

          いいえ。ミスリードはあなた。

          >>エクスプロイトコードが出回ったり、攻撃者に利用された脆弱性が最も多かったのもWindowsだった。
          >とありますので、悪用された脆弱性が多かったのもWindowsで、
          >深刻な脆弱性が多かったのもWindowsなのではないでしょうか。

          「とありますので」と書いてありますが、ぜんぜん解釈に結びついてません。

          ・エクスプロイトコードが最も多かったのはWindows
          ・攻撃者に利用された脆弱性も最も多かったのもWindows

          としか書いていませんよ。
          何が「深刻な脆弱性」となるか考えてみればわかります。

          被害を受ける人が多い、容易に攻撃が成立する、ダメージが大きいなどを
          総合して「深刻かどうか」が変わってくるんです。
          Windowsは被害を受ける人が多く、今回のように攻撃コードが出回っていて
          既に攻撃が行われているものは必然的に「深刻」になるんです。

          • by Anonymous Cowpat (32210) on 2007年03月30日 19時26分 (#1134877) 日記
            いいえ。ミスリードはあなた。
            いいえ。ミスリードはあなた。
            冒頭に、
            Microsoft Windowsは全ての商用OSの中で脆弱性の数が最も少なく、パッチの開発期間も最も短いが、深刻な脆弱性の数は最も多い
            とはっきりと書いてある。
            被害を受ける人が多い、容易に攻撃が成立する、ダメージが大きいなどを総合して「深刻かどうか」が変わってくるんです。 Windowsは被害を受ける人が多く、今回のように攻撃コードが出回っていて既に攻撃が行われているものは必然的に「深刻」になるんです。
            そういうあなたの脆弱性の深刻度の考え方が「深刻」です。
            親コメント
    • by ortensia (20914) on 2007年03月30日 16時31分 (#1134769)
      どれだけ素早く対応するのかが見物です。
      親コメント
    • “Windows Vistaは脆弱性対応で群を抜く”と主張することが
      既に組織や自社商品に対する認識の甘さとしての脆弱性が存在しており、
      今の状況だと対応不能だと暗黙のうちに意志表明しているのかと思っていたが
  • *.aniの脆弱性 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2007年03月30日 17時19分 (#1134809)
    *.ani [websunday.net]の脆弱性…、弟?
  • アニメーションカーソルという無駄な概念をOSから削除する機能をください :D
  • by kujira090 (16707) on 2007年03月31日 1時36分 (#1135049) 日記
    OSにも(サポートせずにBinaryとして処理する)スルー力が必要とされてきたという事でしょう。(ぇ
    --
    #壮大なストーリ。空転するアイディア。
  • by Anonymous Coward on 2007年03月30日 16時43分 (#1134775)
    おしえて!
  • by Anonymous Coward on 2007年03月30日 17時05分 (#1134798)
    >ウェブベース攻撃への対処方法は、(1) Firefox 2.0 を使う、(2) Vista で IE7 を使う、などが有効と推定されている。

    隊長!(3)として Windowsを使わない という選択肢を追加し、これを最も有効な対処方法として推薦します!
    • by Anonymous Coward
      IEのmac版は?

      XPオリジナル、SP1では問題なしって一体…?
      • by Anonymous Coward
        たしかXP SP1はもうサポート切れてますよね
        影響の有無チェックすら実施してないのでは?
        • by Anonymous Coward
          ITmedia の元記事を読んでれば、そんな寝言を言わずに済んだのにね。
          • Re:選択肢 (スコア:3, 参考になる)

            by 127.0.0.1 (33105) on 2007年03月30日 19時25分 (#1134876) 日記
            英語の元記事を読むのは難しいレベルの人にはちょっと敷居が高いかもですね。

            まぁそういう私もセキュリティホールmemo [ryukoku.ac.jp]から見に行った
            だけなのでえらそうなことはいえないけども。
            探せばすぐに見つかるものなんだから、間抜け面していないで
            聞く手間でさっさと探せよみたいな。

            以下がITMediaの記事でXP SP1について触れている部分。

            >この問題を指摘したセキュリティソフトメーカーのMcAfeeは、
            >完全にパッチを当てたWindows XP SP2で動作するIE 6と7で
            >脆弱性を確認したと報告。
            >Windows XPとSP1、Firefox 2.0は影響を受けないようだという。

            で、このMcAfreeが報告したってのは、以下の記事で。
            Unpatched Drive-By Exploit Found On The Web [avertlabs.com]

            > Preliminary tests demonstrate that Internet Explorer 6 and 7 running
            > on a fully patched Windows XP SP2 are vulnerable to this attack.
            > Windows XP SP0 and SP1 do not appear to be vulnerable, nor does Firefox 2.0.
            > Exploitation happens completely silently.

            適当に直訳してみる。
            ----
            予備段階のテストは、完全にパッチを当てられたWindowsXP SP2の上で動作するIE6と7で
            この攻撃には脆弱なことを示しています。
            WindowsXP SP0とSP1は脆弱性を示していませんし、
            Firefox 2.0も同じ(で安全)です。
            ----
            SP0ってのはSPを全く当てていないものかと。
            こうなると、XPSP1のあたりで入り込んだ脆弱性ですかねぇ。

            MicrosoftのアドバイザリにはXP SP1については全く触れられていないのは
            サポート範囲外だから載せていないのか、テスト結果で問題ないことが分かっているのか
            説明されていないので、まぁ分かりにくいっちゃ分かりにくいことは確かです。
            親コメント
            • by Anonymous Coward
              敷居が高い
              → 不義理・不面目なことなどがあって、その人の家に行きにくい。
            • by Anonymous Coward
              > Firefox 2.0は影響を受けないようだという。

              簡単なHTMLとスタイルシートで検証してみましたが、Firefox は元々アニメーションカーソルはサポートしてないみたいですね。
              マルチプラットフォーム対応だからWindows依存のファイルはサポートしないのかな・・・でも.curは対応してますし、このあたりの仕様がよくわかりません。
  • by Anonymous Coward on 2007年03月31日 6時10分 (#1135083)
    何となくのですが
    昔からある拡張子偽造でどういう訳か
    シンクロ率400%でまぁ大変ってのがよくある事ですが
    今回もあれじゃないんですかね?

    拡張子ってWindowsではあまり重要ではなくて
    一端読んでから中身で判断して動かす構造なんじゃないですかね?
    摩訶不思議な現象に遭遇する度に頭を過るのですが実際はどうなんでしょうか?
    • Re:Windowsは欠陥OS (スコア:3, 参考になる)

      by eru (12367) on 2007年03月31日 11時02分 (#1135134) 日記
      拡張子変えちゃうと起動するアプリケーションなんかが変わりますから、拡張子に意味はないってことは無いと思います。
      ただ、アプリケーションがデータを読み込んだ後の処理に問題があります。

      少なくともIE、Explorer辺りは"拡張子を無視して独自に解釈しデータ構造に合う形で展開する"という機能がついています。
      text/plainなのにtext/htmlとして解釈したり、image/gifとして解釈したりなんて日常茶飯事です。

      便利になったがゆえに間違いが起こる確率が高くなった。という感じがします。
      親コメント
      • by Anonymous Coward
        「拡張子ではなく、内容によってファイルを開くこと」を「無効にする」にしましょう。
    • by Anonymous Coward
      発展途上のプログラムに完璧なものはない

      プログラムは人の意思、仕様とか勝手に読み替えてください
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...