脆弱性対応の早さというのは、どの会社の製品が安全かを判別するリトマス試験紙になります。脆弱性情報が一般公開されるまで49日間あったのにそれまで対応できなかったMicrosoft以外の大手全社は論外で、大手ベンダーの中で唯一まともに対応(脆弱性情報の一般公開に間に合う早さでパッチ提供)したのは Microsoft 社だけ でした。
Appleの場合、iOS 11.1では https://support.apple.com/ja-jp/HT208222 [apple.com] > Wi-Fi > Available for: iPhone 7 and later, and iPad Pro 9.7-inch (early 2016) and later > Impact: An attacker in Wi-Fi range may force nonce reuse in WPA clients (Key Reinstallation Attacks - KRACK)
AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:2, 参考になる)
2017年8月28日に約100組織の主要ベンダーに脆弱性情報の通知 [hatena.ne.jp]が行われたので、詳細情報が一般公開される2017年10月16日まで49日間もあったのです。なお、それより前の2017年7月14日頃に、脆弱性発見者の Vanhoef氏 が個人的に実験対象となったベンダに脆弱性報告したそうです。
で、脆弱性情報が一般公開されるまでに対応できたのは大手OS会社では Microsoft だけ
これは、Microsoft のOSが最も安全で、AppleとGoogleのOSが危険なことの証明です
Buffalo もWi-Fi Alliance Contributor で事前に情報を知っていたはず [wi-fi.org] なのに、報道で騒がれてから脆弱性がある製品を探し始める [buffalo.jp] というあまりにも遅すぎる糞対応で駄目ですね。都会のマンション暮らしの人は、Wi-Fi AP親機は脆弱性の影響受けないから問題ないのでたいしたことがないと思うかもしれませんけど、田舎ではWi-Fi APの中継機能を使うのが当たり前で、母屋、離れ、車庫、納屋などにリピーター機能有効のWi-Fi AP(バッファローのルーターの上位モデルには搭載されている機能)を設置するのが一般的で、脆弱性の影響は大きいのです。
脆弱性対応の早さというのは、どの会社の製品が安全かを判別するリトマス試験紙になります。脆弱性情報が一般公開されるまで49日間あったのにそれまで対応できなかったMicrosoft以外の大手全社は論外で、大手ベンダーの中で唯一まともに対応(脆弱性情報の一般公開に間に合う早さでパッチ提供)したのは Microsoft 社だけ でした。
脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。
Re:AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:1)
Re: (スコア:0)
起動しないOSが一番安全です。
Re: (スコア:0)
Project Zeroの脆弱性情報の強制公開方針って本当に社会を良くしているのだろうか。脆弱性情報を黙殺する連中には最終手段として有効だろうけど、現在セキュリティパッチを準備していると宣言しているのに、(場合によっては次回の月例更新様に配布準備が進んでいる時でさえ、)脆弱性情報を公開してしまった事もあったし。検証期間を十分に取らないと、パッチによる不具合も増えそうな気が…。
# そういや、この辺の脆弱性情報公開方針ってその後改善されたてたっけ…?
Re: (スコア:0)
報道で騒がれてから脆弱性がある製品を探し始める というあまりにも遅すぎる糞対応で駄目ですね。
NECェ
Re: (スコア:0)
漸くNECもページ公開
http://www.aterm.jp/product/atermstation/info/2017/info1018.html [aterm.jp]
# BlueBorne対策もついでにしてほしいLTE Aterm
Re: (スコア:0)
Googleェ
自分が見つけたMSの脆弱性には厳しいのに、自分の脆弱性には優しいのな...
Re: (スコア:0)
Googleのアレはネガティブキャンペーン用部隊だから……
というのは冗談ですが、普段の言動が言動なだけにもうちょっとなんとかならんのかねぇ。
# そういえば、XPが死ぬ理由が増えましたね。
# まぁ、無印XPとかSP1だとそもそもWPA2なにそれ?ですけど。
Re: (スコア:0)
GoogleのProject Zeroの方針としては、脆弱性情報がキッチリ公開されたので、今回の件はこれ以上問題無いと言えるのでは。
Re: (スコア:0)
おっ、そうだな(今月のFlash Player 0-dayのWindows Update配信遅かったですね)
Re: (スコア:0)
今月の定例で公開が遅れたFlash Playerの更新と0-dayは別のバージョンですよ?
定例後の1週間もしない間に新しい0-day対応のセキュリティ修正バージョンが配信されたのです。
手動管理しているなら再確認した方が良いですよ?
元々バグ修正だけの 27.0.0.159が10月10日に公開 [adobe.com]されてもWindowsUpdateに出なくて、
Re: (スコア:0)
Adobeがパッチ出した、その翌日にWindows Updateで配信開始とは流石Microsoft
Google Chromeも裏でFlashのバージョンアップするけど、パッチ出た直後にFlashバージョンテストしても更新されてないことが結構あって実際にパッチあたるまで数日かかってるから、IE/Edgeの方が早いね
Re: (スコア:0)
その1日遅かったことを言っているのですよ
Flash Player自体の自動更新が昔と違ってまともに動くようになって、Flash Playerに関してだけは7の方が安全になってしまった
Re: (スコア:0)
数時間でも影響が有ったりしますから、そういう意味では確かに今回は早さ的には宜しくなかったですね。
間に余計なもの(MS)が入る悪影響か。
個人的には公式アップデータはブラウザ開きっぱなし時の挙動が良くないので、それが改善されないと古いまま動かしつづけちゃうのがネックかなぁ
Re: (スコア:0)
もうBuffaloとか買うのやめて、MicrosoftのSurfaceをソフトAP化してリピーターもやってもらえばいいんじゃない?PCからAPからスマホまで全部Microsoftにすればきっと幸せになれると思うんだ。
Re: (スコア:0)
スリープした時にハードウェア側に制御が移るんでなかったか?
その意味ではOS側だけじゃなくて、ファームウェアも更新しないと安全じゃないんじゃなかったかな
Re: (スコア:0)
いいやBuffalo買ってDD-WRTでしょう
Re: (スコア:0)
> 脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。
その論理だと、脆弱性問題が出る度にOS安全度ランキングが変化しますね。次に何か問題があってWindows以外のOSが先に対応したなら、別のOSがもっとも安全になるでしょう。
また過去の実績を見た場合もWindowsがもっとも先に対策が出来てたんでしょうか?もしここ数年の単位でWindowsが先陣を切って対策が出来ていた割合が高いなら比較的安全なOSと言えると思いますが。
対策一件についてだけ見て安全って言い切るのは判断を見誤りそうな感じはしますけど、そのへんどうなんです?
Re: (スコア:0)
脆弱性を公開するまで対応しないように報告者から指示を受けていたのにMicrosoftはそれを無視したのですね。
OpenBSDも勝手に対応したみたいですが、セキュリティ業界の足並みを乱すような行為は謹んで欲しいものです。
Re: (スコア:0)
Microsoftは知らないけど、OpenBSDについては(開発者のstsp氏によれば)
という流れなので、両者いちおう同意の上なのです。
NETGEAR はパッチ提供済み (スコア:0)
【重要】弊社無線製品のWPA2脆弱性対応状況について [netgear.jp]
昨日のプレスリリースで、NETGEAR(アメリカの大手ネットワーク機器会社でルーターも作ってる)は最新のファームウェアでは「KRACK」を修正済みと発表
一方、日本のバッファロー、I O DATA、NEC、エレコムは、パッチどころか該当製品の調査段階
ほんと、日本の会社のセキュリティ意識は終わってる
もう駄目だろこれ
Re: (スコア:0)
海外のネットワーク専門会社1社だけをサンプルとし、日本の非ネットワーク専門会社を非難する。
お前の意識は終わってる
もう駄目だろこれ
こうですか?
Re: (スコア:0)
日本の会社はただの商社だし仕方ないよ
Re: (スコア:0)
そもそも日本にコンシューマ用無線LAN機器を売っているネットワーク専門会社は無いからな。
得手不得手があるのは当然だし、幾つかの分野で Made in Japan(笑)になるのは仕方ないべ。
NASもそう。QNAPは堅くていいぜ。
Re: (スコア:0)
論文読んでないけど、そこが今回実験台にされた製品なんじゃないのか?
Re: (スコア:0)
フェークニュース?
Re: (スコア:0)
タイミングが良かっただけじゃないの?
ちょうどRS3がRTM迎えるタイミングだったわけだし。
それがなかったら、Appleなんかと同じような扱いだったんじゃないかなぁ
Re: (スコア:0)
実際問題として、
今回の攻撃でわざわざ狙われる(ここまでやって狙う価値がある)のは
軍事、公共、大企業のしかも重要なWIFIくらいのものです
これは、攻撃を成功させるための事前準備の規模の大きさ、
実際の攻撃を成立させるための攻撃行為のシビアさ、
成功してもHTTPSやVPNの通信は見えない、などの兼ね合いの話となります
一般的な個人を狙った攻撃としては、まったく割に合わないので(いいか悪いかは別として)ほぼ無縁ですね
そもそも一般人を狙うなら、こんな手の込んだことをする必要はまったくありません
適当に暗号化なしAPや本物公衆WIFIと同じSSIDのAPを立てておけば
操作ミスしたりやタダ乗りしようとしてきたりでバンバン引っかかってくるうえ、
攻撃する側としての努力も何百分の一で済みます
Re: (スコア:0)
ルーターは他にもバグがあるからなぁ。Internet側のリモートアクセスを有効にしなくても外からのアクセスでログイン画面が表示されるとか。
Re: (スコア:0)
いつも他より遅いのにたまに早いとずいぶん偉そうだなw
素早いパッチの提供はいいけど (スコア:0)
ここんとこ毎月のように修正プログラムに不具合が混じってるのは勘弁してくれませんかねぇ>M$
安全も大事だけど、安定もしてないと使ってらんないのよね。
Re: (スコア:0)
Appleの場合、iOS 11.1では
https://support.apple.com/ja-jp/HT208222 [apple.com]
> Wi-Fi
> Available for: iPhone 7 and later, and iPad Pro 9.7-inch (early 2016) and later
> Impact: An attacker in Wi-Fi range may force nonce reuse in WPA clients (Key Reinstallation Attacks - KRACK)
だそうです。
iPhone6以前は置いてけぼり???
Re:AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:2, 興味深い)
どこの逸般人だよ。
元コメで一般とか逸般とかあるのは「母屋、離れ、車庫、納屋などにリピーター機能有効のWi-Fi AP(バッファローのルーターの上位モデルには搭載されている機能)を設置するのが一般的」の部分ですね。
都会暮らしの人には田舎の人の暮らしが分からないので、電波が届かない=特殊な無駄に広い豪邸 と誤解しているかもしれないので、実状を説明しますね
まず、典型的な田舎の家というのが
・夫婦が暮らす母屋
・子供が暮らしたり親戚が来たときに泊まる離れ
・車を泊める車庫
・荷物や農業器具などを入れる納屋
の4つの構築物が基本となっています。そのほかに犬小屋とか鶏小屋とかもあることがあります
親戚の農家、年収150万ぐらいですけど、この4セットあります。裕福でない一般的な農家でもこれぐらいの数の建物が敷地内にあるのです。
土地はただ同然で無駄に広いですし、建物が違うと壁を2つ挟むので、当然ながらWi-Fi AP1台では全域に電波は届きません
(雪国は壁が厚いということもあります)
逸般人は、無線LANリピーターを使うとレイテンシーが大きくなるとかいって有線を張り巡らせるでしょうけど、それは一般的ではありません
何故なら、離れなどは建築が古いとLANケーブルの配線を全く考慮しておらず、寒冷地だと機密性の高い二重窓だから窓枠とガラスの隙間からケーブルを通すのは困難、母屋と離れの両方の壁に穴をあけるのも業者を呼んで工事しなくてはならず大がかりです
だから、母屋の離れに一番近い部分にリピーターを設置、離れの母屋に近い部分にもリピーターを設置して、中継させるのです
リピーターを使っても1セットではpingが増えるのはせいぜい3~4ミリ秒ですので、FPSとかそういうリアルタイムゲームをやらずに、ブラウジングやYouTube・ソシャゲーをやる一般人は気にしません
スプラトゥーンなんかだと多少問題あるかもしれませんけど、都会のマンションの混線だらけの2.4Ghz帯利用者より、田舎のリピーター使用Wi-Fiの方が安定性が高かったりもします
田舎の親戚でネットやってる人いたら聞いてみると良いですよ
知識のない人たちも地元の電気屋さんなどに勧められてリピーター設置していることが多いです
Re: (スコア:0)
もっと定量的に知りたい。
人口密度どのくらいだと何世帯がアレするとか、そういうの。
古い知識で偉そうにする老害が集まるスラド (スコア:1)
2007年1月の省令改正によって無線タイプ「W56」 (5.47 - 5.725GHz) が免許不要で屋外での利用も可能になったんだけど、知らないの?
Re: (スコア:0)
加えて2.4GHz帯無線LANも屋外利用可能だしね
元の人はどの国の無線LANのことを言っているのだろう。
Re: (スコア:0)
別ACですが実家近辺の田舎だと、最近はコンセントに挿すだけタイプが有るので近く(比喩)のヤマダ電機みたいな量販店でおススメされて結構普及しております。
# 逸般人はLANケーブルを引いたり、c.LINKモデムでTV線に重畳したり、光ファイバーやったり、使わなくなった電話線を無理矢理100BASE-TXでリンクしたりしてる。
# PLCは建屋間だと屋外使用なので、違法になりますからやらないように。
Re: (スコア:0)
# PLCは建屋間だと屋外使用なので、違法になりますからやらないように。
ちなみに802.11aもW56以外は同じ理由でダメだからな。
Re: (スコア:0)
面倒臭いからエアコンの穴経由でケーブルを引いた。
Re: (スコア:0)
総務省令 電波法施行規則 第6条 第4項 第4号
主としてデータ伝送のために無線通信を行うもの(電気通信回線設備に接続するものを含む。)であつて、次に掲げる周波数の電波を使用し、かつ、空中線電力が〇・五八ワット以下であるもの(以下「小電力データ通信システムの無線局」という。)
(1) 二、四〇〇MHz以上二、四八三・五MHz以下の周波数
(2) 二、四七一MHz以上二、四九七MHz以下の周波数
(3) 五、一五〇MHzを超え五、三五〇MHz以下の周波数(屋内その他電波の遮蔽しやへい効果が屋内と同等の場所であつて、総務大臣が別に告示する場所において使用するものに限