アカウント名:
パスワード:
なんだか紛らわしいですが今回問題となったのは、例の「サービスパック」と称していたものではなくて、アンインストールの申し込みで提供されていたもの、ではないでしょうか。16日付のIT Proの記事では次のようにあります。
US-CERTの情報によると,アンインストール・ツールはWeb上では公開されておらず,ユーザーが要求する形式を取っていたという。ユーザーがソニーBMGのサイトでツールを要求すると,ツールへのリンク(URL)が記されたメールが送られてくる。このリンクをクリックすると,ActiveX コントロールをインストールするよう促すページが表示された。
ごめんなさい、もうすこし引用しないとわかりにくいですね。というわけで同記事から引用のやり直し。一方、配布中のSP2aの日付は11月8日となっています。
US-CERTの情報によると,アンインストール・ツールはWeb上では公開されておらず,ユーザーが要求する形式を取っていたという。ユーザーがソニーBMGのサイトでツールを要求すると,ツールへのリンク(URL)が記されたメールが送られてくる。このリンクをクリックすると,ActiveXコントロールをインストールするよう促すページが表示された。 ソニーBMGは11月15日,「UNINSTALL REQUESTS」ページにおいてアンインストール・ツールの公開を一時停止したことを発表。理由については明記していない。現在,新しいツールを作成している最中なので,数日後,同ページに改めてアクセスしてほしいとしている。
US-CERTの情報によると,アンインストール・ツールはWeb上では公開されておらず,ユーザーが要求する形式を取っていたという。ユーザーがソニーBMGのサイトでツールを要求すると,ツールへのリンク(URL)が記されたメールが送られてくる。このリンクをクリックすると,ActiveXコントロールをインストールするよう促すページが表示された。
ソニーBMGは11月15日,「UNINSTALL REQUESTS」ページにおいてアンインストール・ツールの公開を一時停止したことを発表。理由については明記していない。現在,新しいツールを作成している最中なので,数日後,同ページに改めてアクセスしてほしいとしている。
私も混乱したんですが、「ActiveX版に問題」「新しいプログラムは安全なようだ」は意味合いが違うように思います。まとめると次のようになるかと。
アンインストール手順については、Mark Russinovich氏が11月9日付けブログエントリで書いています。意訳しつつ引用すると...
申請から数分後に届くCase ID付きメールにはパッチが示され、どうしてもアンインストールしたい場合にはと、別ページのアドレスも記載されていた。そこにアクセスするとF4I社署名のActiveXコントロール CodeSupport.Ocx のインストールが求められる。ここでCase IDと申請理由を記入すると数分後メールが届く。そこに書かれているのは、1営業日以内にカスタマーサービス代表がアンインストール方法を指示するメールを送る、という内容。 やっとのことでSony BMGからのアンインストール・メールが届くと、申請者専用アンインストールページへの暗号化リンクが示されている(※URLに暗号化されたIDが付加されているだけであって、HTTPSではない。ブログエントリ参照)。興味深いことに、メールのアドレスには内密との記載があり、Sonyが隠してしておきたいもののように思わせた。アンインストーラは1週間で失効する、ともあった。 そのアンインストールページにアクセスするのが、アンインストール申請フォームに記入したコンピュータであれば、DRMソフトウェアは削除される。DRMソフトウェアの入った別のコンピュータにCodeSupport ActiveXをインストールしてアクセスしても、エラーとなってDRMソフトウェアは削除されない。 (※以下分析。CodeSupportがいちいちCase IDとともにハードウェアシグネチャを送信して一致しないとアンインストールできず、複数のコンピュータにXCPが入り込んでいた場合にはそれぞれ同じ手順を踏まなければならなかったらしい) Sony: そおおおんんんんなにアンインストールしたくないのか [sysinternals.com]
申請から数分後に届くCase ID付きメールにはパッチが示され、どうしてもアンインストールしたい場合にはと、別ページのアドレスも記載されていた。そこにアクセスするとF4I社署名のActiveXコントロール CodeSupport.Ocx のインストールが求められる。ここでCase IDと申請理由を記入すると数分後メールが届く。そこに書かれているのは、1営業日以内にカスタマーサービス代表がアンインストール方法を指示するメールを送る、という内容。
やっとのことでSony BMGからのアンインストール・メールが届くと、申請者専用アンインストールページへの暗号化リンクが示されている(※URLに暗号化されたIDが付加されているだけであって、HTTPSではない。ブログエントリ参照)。興味深いことに、メールのアドレスには内密との記載があり、Sonyが隠してしておきたいもののように思わせた。アンインストーラは1週間で失効する、ともあった。
そのアンインストールページにアクセスするのが、アンインストール申請フォームに記入したコンピュータであれば、DRMソフトウェアは削除される。DRMソフトウェアの入った別のコンピュータにCodeSupport ActiveXをインストールしてアクセスしても、エラーとなってDRMソフトウェアは削除されない。
(※以下分析。CodeSupportがいちいちCase IDとともにハードウェアシグネチャを送信して一致しないとアンインストールできず、複数のコンピュータにXCPが入り込んでいた場合にはそれぞれ同じ手順を踏まなければならなかったらしい) Sony: そおおおんんんんなにアンインストールしたくないのか [sysinternals.com]
ここまでしてさらにセキュリティホール。うーん...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
参考 (スコア:3, 参考になる)
ユーザーの利便性を考えたつもりなんだろうけど、
ActiveXで、こういう修正が出来てしまう危険性に疑問を抱かなかったのだろうか。>> BMG
Re:参考 (スコア:2, 参考になる)
CNetの記事には、
・最初に公開していたActiveX版に問題がある
・そのあとに出たダウンロード版は安全なようだ
と書かれています。
現在、BMGのダウンロードページは、15日付で
・あたらしいツールを用意しているので数日待って欲しい
となっています。
現在公開しているのが問題になっているのだと思いましたが、そうではないんですね。
新しい削除ツールでは、最初の問題点も含めて修正して欲しいものです。
Re:参考 (スコア:1)
なんだか紛らわしいですが今回問題となったのは、例の「サービスパック」と称していたものではなくて、アンインストールの申し込みで提供されていたもの、ではないでしょうか。16日付のIT Proの記事では次のようにあります。
IT Proの記事。「ActiveXコントロールのSafe for scriptingマーク問題」についての解説あり
現在サービスパックの2aを .exe で配布
同上
現在停止中
Re:参考 (スコア:1)
ごめんなさい、もうすこし引用しないとわかりにくいですね。というわけで同記事から引用のやり直し。一方、配布中のSP2aの日付は11月8日となっています。
Re:参考 (スコア:1)
(1)ルートキットの機能を持つモジュールを削除できるようにするためのパッチ(セキュリティ・アップデート)
(2)XCPをアンインストールためのツール
の2種類があって、問題のあったのは (2)のアンインストールツールのほうということですね。
CNetの記事にある"ダウンロードして使う別のプログラム"というのは、上のもののことでしょうか。
確かにダウンロードして使うものにはなっているようです。
Re:参考 (スコア:2, 参考になる)
私も混乱したんですが、「ActiveX版に問題」「新しいプログラムは安全なようだ」は意味合いが違うように思います。まとめると次のようになるかと。
アンインストール手順については、Mark Russinovich氏が11月9日付けブログエントリで書いています。意訳しつつ引用すると...
ここまでしてさらにセキュリティホール。うーん...
Re:参考 (スコア:1)
やはり、原典を探さないとダメですね。
16日付けで、Victory! になっています。(^_^;