パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

多くの解凍ソフトに指定外の場所に解凍してしまう脆弱性」記事へのコメント

  • >本脆弱性を悪用して特殊な方法で解凍先を指定した
    >圧縮ファイルを解凍すると

    悪意のある人ならそんな面倒なことしないで、
    実行ファイルに仕掛けを施すと思うのですが。
    • 実行ファイルに細工するのと、今回のひそかにファイルをしのばせるのとでは、
      どっちが面倒なのかよく考えてみました?

      ひそかにファイルをしのばせるのは、技術力がそれほどなくてもできてしまいます。
      また、忍ばせられるのは実行ファ
      • by Anonymous Coward
        しかも、圧縮ファイルに設定ファイルをしのばせる方法なら
        ウィルスチェックに引っかかる可能性はまずありません。
        • by Anonymous Coward
          ウイルスチェックは圧縮ファイルの中まで見るので引っかかります
          さらに、窓の杜記事やオリジナルの報告サイトの文書にもあるように、「スタートアップ」フォルダに展開すると実行されてしまうことが問題なのです。

          要は、悪意ある人は「いかにして悪さをするプログラムを実行させるか」に

          • >ウイルスチェックは圧縮ファイルの中まで見るので引っかかります

            あまりにも重いんで、その機能をOFFにしてしまいたい衝動に日々駆られてます。

            #非力な機械にNAVは無茶なのだそうなのでG7
            #ディスク全件チェックに一昼夜かかっちまった(T_T)
            #つまり「毎日チェック」は不可能なわけで。

            zipは怖くてOFFれませんが、
            jarくらいなら良いかな?と、ついつい思ってしまう。
            #もちろんこれは「間違った安心感」なので、良い子は真似しないようにG7

            「(普及してる)ウイルスに、そもそも感染しないシステム」が欲しい、と思うのは
            エコロジー(CPU電気代の無駄を省く)の観点からも、正しい判断なような気がしてなりません。
            親コメント
            • ワクチンソフトの種類やプラットフォームにも依存しますが、Windows上で稼動するものだとファイルのDisk I/O時にチェックをかけるものが多いと思います。また、ZIPなどの階層構造を持つアーカイブファイル中で何階層までチェックするかを設定できるものも多いと思います。

              なので、全件チェックはたま~にでいいかなと(^^;)
              ただ、階層設定は・・・あまり意味がないかもしれませんね。

              それから、その昔は開発環境でとある

              • NVA2004のAutoProtectを動かしているとVisual SourceSafeのDBがネットワークにある場合、
                VSSのファイル操作がとんでもなく遅くなります。
                チェックイン中にタイムアウトしてファイルが破損したこともあったり(TT

                なのでVSS使用中はNAVは切ってます。
              • >NVA2004のAutoProtectを動かしているとVisual SourceSafeのDBがネットワークにある場合、

                「DBがネットワークに」ってのは、Windowsのフォルダ共有を使って云々という意味でしょうか?

                #そもそもVSSに(フォルダ共有ではなく本物の)ネットワーク鯖機能って有ったっけ?

                >VSSのファイル操作がとんでもなく遅くなります。
                >チェックイン中にタイムアウトしてファイルが破損したこともあったり(TT

                破損したのは「どっち」のファイルでしょか?
                ローカルファイル?
                もしやリポジトリ?
                いや、もちろんどっちも痛いんですが…

                VSSのリポジトリって、巨大な1つのファイルっしょ。
                バックアップ取るにしても丸ごと単位にならざるを得ないっすよね。
                それを頻繁に(1日1回じゃ足りないから更に多く)バックアップとなると…うーん(T_T)
                #100GBクラスのHDDを年に数回買い足せばいい、と言ってしまえばそれまでなんですが。

                あと、重いのってやっぱりローカルPCのCPU(とか)に依存してるんでしょかね。
                速いPCも遅いPCも混在してると、安心できない…なのかな…

                >なのでVSS使用中はNAVは切ってます。

                NAV切るのは業務上(藁)許されそうもないなあ。

                バイナリファイル(典型的にはMSOfficeやPDFなドキュメント)のバージョン管理ツールを
                どれにしたもんか迷ってるのでG7
                いやまぢ、どれにしたらいいんでしょねえ?

                VSSは、お話を信じるなら仕事で使うには不安だし、
                CVSは、機能弱い(ディレクトリ移動不能とか)わりには、(非テキストだと)旨みが少ないし。

                Subversionでしょうかね。
                もう安定してるのかなあ…
                Transaction機能があるってことは、ファイル破損も起き難いのかなあ…
                あと非Lock方式(Merge方式)は非テキストじゃ役立たないんだけど、みんな早く判って欲しいなあ(それこそMergeで解決出来ると考えること自体が「間違った意味の安心感」なのだがなあ) [bluegate.org]…
                親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...