パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows Mediaに脆弱性、動画を再生するだけで意図しないコードが実行されるおそれ」記事へのコメント

  • 先月の定例アップデートにもWindows Media の脆弱性により、リモートでコードが実行される (2648048) [microsoft.com]って深刻度「緊急」のパッチはあったし、年に数回はあるっぽいのだけれど今月のは何か特別に危ないのかしら?

    • Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
      WebブラウザがDirectXでメディアファイルを処理するってのは良くある事なので、Webページを見るだけで感染って事態が発生します。
      つまりはGENOウィルスの悪夢ですね。アレは主にAdobeのFlashとかPDFでしたが、Webブラウザがプラグインなどに外部委託した先で穴が開くって意味では同じタイプです。

      ユーザ権限の昇格だのLAN経由でリモートコード実行だのなんてのはNATが全盛の今では懐に入られない限りほぼ無意味なハズですから、Webブラウザなどで"見るだけ"で発動する脆弱性が危険視されるのは当然でしょう。
      # ・・・そろそろIPv6で直接ネットに晒される時代が再来するかもしれませんけど、それはそれ

      • by onetime_id (39093) on 2012年01月13日 8時03分 (#2079938) 日記

        > Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
        だとするとDirectShowの深刻度が「重要」って可笑しくない?
        重要のほうが緊急よりは深刻度、下ですよね?

        親コメント
        • by Anonymous Coward

          「緊急」は、悪用されるとユーザが特に何もしなくても感染し、
          他にも広げて蔓延する可能性があるもの。
          「重要」は、悪用されるとユーザの情報が抜かれたり、
          壊されたり、あるいは動作に支障が出るもの。
          「重要」は緩和策・回避策があるもの、かな。

          • by T.Ozaki (33169) on 2012年01月13日 22時29分 (#2080304) 日記

            深刻度の指標は攻撃の内容ではなく、攻撃の容易さによるものです。
            概ね次のように分類できると思います。

            ・「緊急」…ユーザーの(能動的な)介入無しに攻略コードを実行させられるもの
            ・「重要」…ユーザーを攻略コードに誘導し実行させることで攻撃が成立するもの
            ・「警告」…攻略コードを実行させるために複数の条件が必要なもの、または攻略対象がデフォルト無効なもの
            ・「注意」…攻略コードの実行は通常の状態では行えないもの

            (参考 MSRCマイクロソフト セキュリティ情報の深刻度評価システム [microsoft.com])

            今回の修正対象は「Windows Media Libraryの脆弱性 (CVE-2012-0003)」と「DirectShowの脆弱性 (CVE-2012-0004)」の2つで、攻撃の容易さ的には共に「緊急」に値するものですが、DirectShowの脆弱性の「問題を緩和する要素」には

            Windows Media Player 10、Windows Media Player 11、および Windows Media Player 12 で、WMP セキュリティ設定によりキャプションの表示が既定で阻止されます。

            とあり、攻撃を成立する要素のひとつ(であると思われるこの設定)がデフォルト無効で成立しないため、深刻度評価が1段下がっているようです。

            もっとも、前者(Windows Media Library)の問題によってブラウザからMIDIファイルを読み込んだらあぼーん的なことになるのは想像に難くないので、パッチは早めに当てるべきでしょう。

            親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...