アカウント名:
パスワード:
cng.sysってしかもカーネルモードドライバじゃん。Linuxでいったらカーネルのcryptdに脆弱性があったレベルの話だぞ。ありえないだろ。カーネル内暗号ライブラリのPoly1305のAVX2特化部分に脆弱性がありましたとかいう話ならまだわかるが、qmailでいったらqmail-queueやPostfixのqmgr部分に脆弱性なんてできるか普通?
なんでそんな自らは殆どなにもしない部分に脆弱性があるんだよ?MSが意図的に仕込んだバックドアじゃねーの?
>Linuxでいったらカーネルのcryptdに脆弱性があったレベルの話だぞ。ありえないだろ。
Linux Kernel の dm-crypt における情報漏洩の脆弱性 [jvndb.jvn.jp]
概要
Linux Kernel に実装されている dm-crypt ドライバ (dm-crypt.c) には、メモリを解放する前に crypt_config 構造における暗号化情報が適切にクリアされない脆弱性が存在します。
想定される影響
暗号鍵などの重要な情報を取得される可能性があります。
任意のコードを実行されるバッファオーバーフローと比べられるようなものだろうか?
暗号鍵を取得できるってことは諸々の悪用が出来るわけで、任意コード実行と被害は大差ないような?
実際に取得するには、他の脆弱性との併用が必要でしょ。他の脆弱性がなければ単体では活用できない。
それ言ったら標的型は対象外だと無害無問題になるけど?
少なくとも元コメの意見に対する反例としては十分すぎる脅威だよね。
ワロタ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
さらっと書いてあるけどもの凄い所にできた脆弱性だな (スコア:1)
cng.sysってしかもカーネルモードドライバじゃん。
Linuxでいったらカーネルのcryptdに脆弱性があったレベルの話だぞ。ありえないだろ。
カーネル内暗号ライブラリのPoly1305のAVX2特化部分に脆弱性がありましたとかいう話ならまだわかるが、
qmailでいったらqmail-queueやPostfixのqmgr部分に脆弱性なんてできるか普通?
なんでそんな自らは殆どなにもしない部分に脆弱性があるんだよ?
MSが意図的に仕込んだバックドアじゃねーの?
Re:さらっと書いてあるけどもの凄い所にできた脆弱性だな (スコア:3, 参考になる)
>Linuxでいったらカーネルのcryptdに脆弱性があったレベルの話だぞ。ありえないだろ。
Linux Kernel の dm-crypt における情報漏洩の脆弱性 [jvndb.jvn.jp]
概要
Linux Kernel に実装されている dm-crypt ドライバ (dm-crypt.c) には、メモリを解放する前に crypt_config 構造における暗号化情報が適切にクリアされない脆弱性が存在します。
想定される影響
暗号鍵などの重要な情報を取得される可能性があります。
Re: (スコア:0)
任意のコードを実行されるバッファオーバーフローと比べられるようなものだろうか?
Re: (スコア:0)
暗号鍵を取得できるってことは諸々の悪用が出来るわけで、任意コード実行と被害は大差ないような?
Re: (スコア:0)
実際に取得するには、他の脆弱性との併用が必要でしょ。
他の脆弱性がなければ単体では活用できない。
Re: (スコア:0)
それ言ったら標的型は対象外だと無害無問題になるけど?
Re: (スコア:0)
少なくとも元コメの意見に対する反例としては十分すぎる脅威だよね。
Re: (スコア:0)
ワロタ