パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティソフトに含まれるファイルを悪用したマルウェア」記事へのコメント

  • by Anonymous Coward on 2011年03月06日 19時39分 (#1913473)

    すべてのモジュールは正しく署名されており

    これエンドユーザにどうしろと?
    署名が正しいから信頼してインストールするはずだよね?
    大本の鍵が割れたってことならエンドユーザは信頼性ってものを何に頼ればいいのかな?

    • by Anonymous Coward on 2011年03月06日 20時23分 (#1913497)

      鍵は割れてないでしょ。署名済の正しいプログラムが参照する設定ファイルを書き換えているだけ。
      設定ファイルには署名されていないのだから署名の信頼性が低下した訳じゃなくて、
      署名無しの設定ファイルを元に特定のサイトに飛ばしてしまう挙動の穴を突かれたと言うこと

      親コメント
      • 挙動の穴を攻撃されたとか言うと、新しい攻撃方法みたいに見えちゃうから問題な気がする。
        これって単純に、やっちゃいけない電子署名の運用やってたって話だよね。

        バイナリは署名してました、バイナリが使う設定ファイルは署名してませんでしたっていう単純な話。
         # メール本文は署名してました、添付ファイルはしてなかったので差し替えられました、レベルの話:-P

        パッケージ全体を署名すれば良かっただけ。
        もしアップデートがあるなら、それもまるまる署名すれば良いだけ。
         # まあ、んなことエンドユーザは気をつけようがないとは思うので難しい問題ですが:-(

        親コメント
        • 設定ファイルやデータなどにも署名が必要なのは分かるが、しかし、それを徹底するのは難しい。
          今回は悪用されたのがセキュリティソフトだったので注目されているが、このパターンの穴は至る所にあると思う。
          • by Anonymous Coward

            このニュースでアイデアが広がっちゃったからね。
            暫くしたら「オンラインヘルプを見ようとしたら何故かバイアグラの販売に」とか出て来そうな。

            • 別のソフトですが、インストーラの脆弱性としてCVEに登録されていた内容をみてビックリしました。

              インストール先のパスに、インストーラがインストールしようとしているファイルと同名で、より新しいタイムスタンプのファイルがすでにある場合には、インストーラがそれを上書きしない。

              これがセキュリティ・ホールとして扱われるというのです。
              悪意のあるプログラムによって悪意のあるファイルを先に配置されていると、それをそのままソフトの一部として実行してしまう、具体的にはhtml形式のヘルプファイルに悪意のあるスクリプトを仕込まれるということなのです。
      • by Anonymous Coward

        ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事?

        それってまずくない?

        • まずいも何も設定ファイルって変更するためにあるのに、署名しちゃったら変更できないじゃん。
          インストール時や設定時に動的に変更できるように「設定ファイル」にしている訳で、
          配布時決定するような設定なら初めから実行ファイルに入れちゃうでしょう。
          設定ファイル(レジストリとかにおく設定も含め)は署名するものでは無いと思いますが。
          親コメント
        • by Anonymous Coward
          > ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事?

          動的な修正とかいろいろを考えると、そこまで徹底して署名することには問題があるかも知れません。
          まぁ、パターンデータぐらいは署名があっても良いかもしれませんが、一方で、差分アップデートとかが難しくなるわけで。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...