アカウント名:
パスワード:
https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]
Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。
ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。
サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。
Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関
> トレンドマイクロが糞フトメーカーなのは周知の事実
限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。
トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。
パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。
https://japan.zdnet.com/article/35 [zdnet.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
Mac のサンドボックスが回避されたことが一番問題 (スコア:5, 参考になる)
https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]
Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。
ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。
サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。
Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関
Re: (スコア:0)
> トレンドマイクロが糞フトメーカーなのは周知の事実
限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。
Re: (スコア:5, 参考になる)
トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。
パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。
https://japan.zdnet.com/article/35 [zdnet.com]
Re:Mac のサンドボックスが回避されたことが一番問題 (スコア:1)
>もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。
自社製品でも検出可能なセキュリティーホールを搭載してるんだから
わざとやっているんじゃない?
邪推すると、当初のビジネスモデルでは食っていけないので
違うビジネスモデルにシフトしてるとか