アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
酷い脆弱性なのに (スコア:2, すばらしい洞察)
Re: (スコア:1, すばらしい洞察)
vmspliceというシステムコールがどういうときに使われるものか
ピンと来ないからどの程度危険か分からない人も多いと思うんで
すが、酷さが分かる程度に解説してあげれば騒ぐ人も出てくるん
じゃないでしょうか。
Re: (スコア:5, 参考になる)
これはいわゆる「local exploit」というやつで、本来ローカル権限しか与えられてないはずのユーザが、
このコードをコンパイルして実行すればroot権限をとれてしまうという問題なので。
既存のソフトウェアでvmspliceを使っていて、それをネットワーク越しにexploitされる
「remote exploit」とはちょっと話が違います。
が、既存のユーザ認証の仕組みを台無しにしてしまうと言う意味で、結構深刻な脆弱製と言えます。
Re: (スコア:0)
一方、ユーザー自身が管理者権限を持っている自宅のパーソナル
Linuxなんかではあまり関係無いという話ですかね。
もちろん、自宅マシンでも対策はやっておいた方がいいんでしょう
けど。
Re: (スコア:0, 参考になる)
この前のfirefoxのアップデートでもリモートからの任意の
コード実行の脆弱性をfixっていくつもありましたし。
そのへんのゾンビ化したWindowsと何ら変わりはありません。
Re: (スコア:0)
最近はWindowsと同じく何でも送って来る(実績がある?)ということ
で、実際に悪用された例に興味があるのですが、どのようなものがある
のでしょうか。
その手の紹介サイトへのリンクでも示していただければ良いのですが。
Re: (スコア:1)
実際に悪用される(された)かどうかは別問題。
ってのはどんなOSやソフトでも同じ。
Firefoxでは脆弱性を悪用された事例は今のところ
ニュースになったことはなかったかと思います。
Re:酷い脆弱性なのに (スコア:0)
>> 最近はブラウザ経由で何でも送ってくる
というのは「まだ無いけど、これからも全く無いとは言いきれない」という
意味ですね。そこになぜ「最近は」という表現がつくのか分かりませんが...
「最近」というのはブラウザが存在した後ということなんですかね?
>>そのへんのゾンビ化したWindowsと何ら変わりはありません。
これも「そうなる可能性が全く0ではない」という意味ですね。
ただ、そうなると(当然のことながら)「セキュリティパッチを当ててウィ
ルスチェッカをインストールした」という程度の中途半端な対策しかしてい
ないWindowsも「そのへんのゾンビ化したWindowsと何ら変わりはありま
せん。」と言えるわけで、もう少し程度によって表現を区別してもらうと
ありがたいです。