パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WikiLeaksがCIAのハッキング手口を多数公開」記事へのコメント

  • ありがちなDLLをカレントディレクトリから読み込んでしまう脆弱性は2010年に修正済みなわけだが
    https://github.com/notepad-plus-plus/notepad-plus-plus/commit/3fa8a89e... [github.com]

    EXEファイルと同じディレクトリにあるDLLしか読み込まないがDLLを悪意あるものに置き換えても読み込んでしまうというのは果たしてたかがテキストエディタが面倒見なければならないものだろうか?

    • by Anonymous Coward on 2017年03月11日 14時43分 (#3174622)

      もちろん脆弱性じゃない。Notepad++の公式サイト [notepad-plus-plus.org]にははっきりこう書いてある。

      It's not a vulnerability/security issue in Notepad++, but for remedying this issue, from this release (v7.3.3) forward, notepad++.exe checks the certificate validation in scilexer.dll before loading it.
      これはNotepad++の脆弱性やセキュリティ問題ではないが、問題を緩和するために、v7.3.3からscilexer.dllを読み込む前に証明書をチェックすることにした。

      これを「脆弱性」と書いてしまった窓の杜とhylomはあきらかにわかってない。
      また上記ページにも書いてあるし誰でもわかることだが、DLLを書き換えられるような状況では
      notepad++.exeを書き換えることも含めてなんでもできてしまうので、もちろんこの対策にまったく意味はない。
      まあ福島の除染と似たようなもんだな。

      親コメント
      • by Anonymous Coward

        あーびっくりした。
        署名のついたDLLしか使っちゃいけないなんてことになったらSusieプラグインとか全滅じゃんと思った。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...