アカウント名:
パスワード:
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-e... [insinuator.net]
これが実行されるのが仕様ってあんまりでは。
まるで電卓が悪者みたいじゃないかっ!
Windowsの三大被害者・calc.exe・notepad.exe・cmd.exe
自分が悪くなくてもexploitによってさらし者になる運命なのだよ
それらに脆弱性緩和機能が追加される日も近いな。
# Microsoftならやりかねん
powershellにはリモートから(操作を指示されたユーザによって)任意の(スクリプトファイルに記載された)コードを実行する脆弱性に対する緩和機能があります。わざわざユーザが明示的にスクリプトの実行を可能に設定しないとスクリプトファイルを実行できないあれです。でも拡張子が.batなファイルを実行するだけで実行できるcmd.exeには同様の緩和策がいつまでたっても搭載されません。多分されないでしょう。
execution policyの事であれば、powershell.exe実行時の引数に、「-ExecutionPolicy Unrestricted」を付与することによって、ps1ファイルに書かれた任意のコードを実行できてしまいますし、「-Command」引数を使用すれば、やはり任意のコードを実行できてしまいます。# ユーザーの誤操作防止用の機能ですし、緩和策にならないのでは?
必要十分な緩和策でしょ。使うユーザーは意識するし、使わないユーザーのところで勝手に動かなければ、9割以上防げる対策になるんじゃない?
大元のコメはexe実行の話であって、ps1ファイルをダブルクリックした時の話ではないのだけれども?
#libreofficeのマクロから実行の話だし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
予想以上にひどくてワラタ (スコア:2, おもしろおかしい)
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-e... [insinuator.net]
これが実行されるのが仕様ってあんまりでは。
Re: (スコア:0)
まるで電卓が悪者みたいじゃないかっ!
Re: (スコア:1)
Windowsの三大被害者
・calc.exe
・notepad.exe
・cmd.exe
自分が悪くなくてもexploitによってさらし者になる運命なのだよ
Re: (スコア:0)
それらに脆弱性緩和機能が追加される日も近いな。
# Microsoftならやりかねん
Re: (スコア:0)
powershellにはリモートから(操作を指示されたユーザによって)任意の(スクリプトファイルに記載された)コードを実行する脆弱性に対する緩和機能があります。
わざわざユーザが明示的にスクリプトの実行を可能に設定しないとスクリプトファイルを実行できないあれです。
でも拡張子が.batなファイルを実行するだけで実行できるcmd.exeには同様の緩和策がいつまでたっても搭載されません。
多分されないでしょう。
Re: (スコア:0)
execution policyの事であれば、powershell.exe実行時の引数に、
「-ExecutionPolicy Unrestricted」を付与することによって、
ps1ファイルに書かれた任意のコードを実行できてしまいますし、
「-Command」引数を使用すれば、やはり任意のコードを実行できてしまいます。
# ユーザーの誤操作防止用の機能ですし、緩和策にならないのでは?
Re: (スコア:0)
必要十分な緩和策でしょ。
使うユーザーは意識するし、使わないユーザーのところで勝手に動かなければ、9割以上防げる対策になるんじゃない?
Re:予想以上にひどくてワラタ (スコア:0)
大元のコメはexe実行の話であって、
ps1ファイルをダブルクリックした時の話ではないのだけれども?
#libreofficeのマクロから実行の話だし