パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大」記事へのコメント

  • by Anonymous Coward
    え?なに?私はサッカー見てたんですよ。休日ですよ?なんで今頃こんなこと調べなきゃならないの?

    って、マジ?ASN.1のライブラリにバッフォードオーバフロー?

    この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして

    『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』

    ってコトですか?
    って、ホントにそう?私の解釈が間違っている?というか是非間違ってい

    • by Anonymous Coward on 2004年02月12日 15時19分 (#494219)
      元のACです。なにやら打ちマチガイが多いのは、単に性格のせいなんで、ほっておいてやってください。そうそう簡単には、直りません(^^;
      内容が間違っている点をご指摘いただけますと影ながらヨロこびます。

      さて、

      ウイルス対策ソフトだって、そうすぐには対応できるとは思えないってことでしょ。だって、リアルタイムでDERデコードしなきゃならなくて、しかも、そのデコードにはMS製のライブラリは使えないわけだから。
      これ考えたんですが、実際のトコロはどうなんでしょうか?

      例えばS/MIMEの署名メールにヤバいのを含ませられたとして、固定の内容ならば従来のパターンマッチングで検出できるのでしょうか?
      単に時刻などを挿入しただけで、署名部分のフィンガープリントは大きく異なるので、すり抜けるのかしら?

      署名にヤバいのを付けて、それを暗号化したメールとかはお手上げなんでしょうね。でも、この場合は先だって送りつける相手の公開キーが必要になりますので、あんまり被害はなさそう…かな。

      LDAPサーバから入手とか…。うーん。

      親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...