アカウント名:
パスワード:
この問題はRazerがさっさとドライバーをDCHに準拠させていれば起こりえなかった問題ですね。
DCH準拠のドライバーでは、ドライバー本体のインストールはinfファイルによってのみ行われるので、そもそもインストーラーが存在しません。Windows側にはinfファイルを処理するインストーラーと呼べるものが存在しますが、infファイルに書かれている通りに処理するだけなのでこのような脆弱性が存在する可能性は低いです。
また、ドライバーとセットで使用されるユーティリティ(Hardware Support App)はドライバーから分離され、一般的なストアアプリと同様にWindows側でダウンロードやインストールの処理が行われますので、この点に関してもよりセキュアです。
万が一Windows側にインストール処理に関する脆弱性があったとしても、月例更新などで速やかに対処でき、場合によっては機種ごとにあるインストーラーをメーカーが一つずつ更新するのを待つ必要はありません。
DCHに関してはレガシーなドライバーとの互換性(特にNVIDIAとかIntelのGPUドライバー)ばかり話題に上りますが、DCHはモダンでセキュアな仕組みですので全てのメーカーがDCH準拠のドライバーへ移行することを期待します。
# この脆弱性に関してDCHへの言及をしている人を殆ど見かけないのですが知名度低すぎませんかね…
DCH準拠のドライバーでは、ドライバー本体のインストールはinfファイルによってのみ行われるので、
いやぁ原則はそうかも知れませんが例えばDCHのGeforceインストーラーとか普通にexeですしインストーラ解凍したドライバフォルダの中のinfには「*.*」なんて記述があったりしましてDCH準拠はまだまだ実質セキュアとは全然言えないのが現状という、、、
# 知名度か致命度かそれが問題だ
単純なデバイスドライバーだったらいいんだけどね。難しいんだよ。
例えばrazer製品になるとマクロ機能なんかを使うためのユーティリティが載ってる。このインストールまではinfでできるけど起動が難しい。レジストリに書き込めばwindows再起動時には起動できるけど、インストール直後にどうやってユーティリティ起動しようかなとなる。
まあユーティリティの類もマイクロソフトストアから配布すればいんじゃね。
ええやん
とは思ったが有償?無償?無償ならなんで使わんのって文句も言えるけど、有償なら、「金が掛かるから使わん、うちは自分で実装できる技術力あるし」というメーカーが合って、それを許容するのもOSの寛容さのうちだとは思う
単発のユーティリティインストーラ如きで脆弱性作っておいて技術力あるとか言ったら飛び蹴りかますわ。
そんなのに寛容示せ?なら普段使ってるコンピューター全てコチラから好き放題できる状態に設定して公開してくれや。
なにやっても寬容示してくれるんだよねもちろん。
同一フォルダのDLL読んじゃう問題なんかは多くのインストーラや自己展開書庫でやらかされた実績があるので「単発のユーティリティインストーラ如きで脆弱性」などとこき下ろすのは早計だと思う。
まぁシェルコンポーネント安易に使って穴開けるのは今時間抜けすぎやしないかとは思うけども。
XSSがWebアプリのよくある脆弱性だった時代があったのはみなさんご存じでしょう。しかし各種フレームワークレベルなどで対応されてほぼ過去になりました。時々例外的な問題が発覚する程度です。
同一フォルダのDLL読んじゃう問題なんかは多くのインストーラや自己展開書庫でやらかされた実績がある
これもXSSと同様に現代では過去の出来事なのではないですかね。知らないとは言いだせない脆弱性の1つでしょう。早計とは思えませんね。
価値観(あるいは評価軸)は時代に沿って変わっていく。そうではありませんか?
最後2行については同感です。
> 「単発のユーティリティインストーラ如きで脆弱性」> などとこき下ろすのは早計だと思う。
「多くのインストーラや自己展開書庫でやらかされた実績」はインストーラ作る側の技術力の問題というより、デバイスごとに個別にインストーラを用意することが問題だった。それを解消するためにDCHを用意したのに、あえてそれを使わない選択をしたなら「単発のユーティリティインストーラ如きで脆弱性」とこき下ろすのは妥当だと思うぞ。
デスクトップなんだから好きにしたらいいじゃん。セキュアブート切れるんだぞ。寛容そのものじゃないか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
全メーカーはDCH準拠のWindows Driversに移行せよ (スコア:5, 参考になる)
この問題はRazerがさっさとドライバーをDCHに準拠させていれば起こりえなかった問題ですね。
DCH準拠のドライバーでは、ドライバー本体のインストールはinfファイルによってのみ行われるので、そもそもインストーラーが存在しません。Windows側にはinfファイルを処理するインストーラーと呼べるものが存在しますが、infファイルに書かれている通りに処理するだけなのでこのような脆弱性が存在する可能性は低いです。
また、ドライバーとセットで使用されるユーティリティ(Hardware Support App)はドライバーから分離され、一般的なストアアプリと同様にWindows側でダウンロードやインストールの処理が行われますので、この点に関してもよりセキュアです。
万が一Windows側にインストール処理に関する脆弱性があったとしても、月例更新などで速やかに対処でき、場合によっては機種ごとにあるインストーラーをメーカーが一つずつ更新するのを待つ必要はありません。
DCHに関してはレガシーなドライバーとの互換性(特にNVIDIAとかIntelのGPUドライバー)ばかり話題に上りますが、DCHはモダンでセキュアな仕組みですので全てのメーカーがDCH準拠のドライバーへ移行することを期待します。
# この脆弱性に関してDCHへの言及をしている人を殆ど見かけないのですが知名度低すぎませんかね…
Re:全メーカーはDCH準拠のWindows Driversに移行せよ (スコア:2, 興味深い)
DCH準拠のドライバーでは、ドライバー本体のインストールはinfファイルによってのみ行われるので、
いやぁ原則はそうかも知れませんが
例えばDCHのGeforceインストーラーとか普通にexeですし
インストーラ解凍したドライバフォルダの中の
infには「*.*」なんて記述があったりしまして
DCH準拠はまだまだ実質セキュアとは全然言えないのが現状という、、、
# 知名度か致命度かそれが問題だ
Re:全メーカーはDCH準拠のWindows Driversに移行せよ (スコア:1)
単純なデバイスドライバーだったらいいんだけどね。
難しいんだよ。
例えば
razer製品になるとマクロ機能なんかを使うためのユーティリティが載ってる。
このインストールまではinfでできるけど起動が難しい。レジストリに書き込めばwindows再起動時には起動できるけど、インストール直後にどうやってユーティリティ起動しようかなとなる。
Re: (スコア:0)
まあユーティリティの類もマイクロソフトストアから配布すればいんじゃね。
Re: (スコア:0)
ええやん
とは思ったが有償?無償?無償ならなんで使わんのって文句も言えるけど、有償なら、
「金が掛かるから使わん、うちは自分で実装できる技術力あるし」というメーカーが合って、
それを許容するのもOSの寛容さのうちだとは思う
Re:全メーカーはDCH準拠のWindows Driversに移行せよ (スコア:1)
単発のユーティリティインストーラ如きで脆弱性作っておいて技術力あるとか言ったら飛び蹴りかますわ。
そんなのに寛容示せ?
なら普段使ってるコンピューター全てコチラから好き放題できる状態に設定して公開してくれや。
なにやっても寬容示してくれるんだよねもちろん。
Re: (スコア:0)
同一フォルダのDLL読んじゃう問題なんかは
多くのインストーラや自己展開書庫でやらかされた実績があるので
「単発のユーティリティインストーラ如きで脆弱性」
などとこき下ろすのは早計だと思う。
まぁシェルコンポーネント安易に使って穴開けるのは
今時間抜けすぎやしないかとは思うけども。
Re: (スコア:0)
XSSがWebアプリのよくある脆弱性だった時代があったのはみなさんご存じでしょう。
しかし各種フレームワークレベルなどで対応されてほぼ過去になりました。
時々例外的な問題が発覚する程度です。
これもXSSと同様に現代では過去の出来事なのではないですかね。
知らないとは言いだせない脆弱性の1つでしょう。
早計とは思えませんね。
価値観(あるいは評価軸)は時代に沿って変わっていく。
そうではありませんか?
最後2行については同感です。
Re: (スコア:0)
> 「単発のユーティリティインストーラ如きで脆弱性」
> などとこき下ろすのは早計だと思う。
「多くのインストーラや自己展開書庫でやらかされた実績」はインストーラ作る側の技術力の問題というより、デバイスごとに個別にインストーラを用意することが問題だった。
それを解消するためにDCHを用意したのに、あえてそれを使わない選択をしたなら「単発のユーティリティインストーラ如きで脆弱性」とこき下ろすのは妥当だと思うぞ。
Re: (スコア:0)
デスクトップなんだから好きにしたらいいじゃん。
セキュアブート切れるんだぞ。寛容そのものじゃないか。