パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大」記事へのコメント

  • by Anonymous Coward on 2004年02月11日 21時57分 (#493799)
    え?なに?私はサッカー見てたんですよ。休日ですよ?なんで今頃こんなこと調べなきゃならないの?

    って、マジ?ASN.1のライブラリにバッフォードオーバフロー?

    この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして

    『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』

    ってコトですか?
    って、ホントにそう?私の解釈が間違っている?というか是非間違っていてほしいのですが。

    だってもしそうなら、

    • SSLなページを開いた瞬間にハードディスクが初期化されたり
    • S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
    できちゃうってこと?

    それって、ファイアーウォールが役立たないってことだし、ウイルス対策ソフトだって、そうすぐには対応できるとは思えないってことでしょ。だって、リアルタイムでDERデコードしなきゃならなくて、しかも、そのデコードにはMS製のライブラリは使えないわけだから。

    ってことは、ファイアーフォールの内側の社内LANに繋がっている全Windows端末にパッチあてなきゃならないってこと?この期末の忙しいときに?

    こ、これは、さすがに「バカヤロー」と叫びたい。叫ばずにはいられない…。

    • by HSA07 (17278) on 2004年02月12日 12時44分 (#494134)
      >S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり

      Secure MINE?!(セキュアな地雷)

      # 笑ってください、疲れてるんです。。。。
      親コメント
    • > SSLなページを開いた瞬間にハードディスクが初期化されたり
      自己署名な証明書だったら警告が出る。怪しいページが https だったら疑ってかかればいいことだよね。ちゃんとしたところのCAが署名したサーバ証明書が悪用されることはない、と思う。

      > S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
      MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。受信したら自動で署名の検証をするようなツールがあるなら、可能性はある。
      暗号化されてるメールは…微妙だなあ。

      ファイアウォールで防げるとか、添付ファイルを開かなくていい、なんていう今までの防御法じゃダメという点は、企業の担当者にとっては頭がいたいことかもしれない。
      親コメント
      • by Anonymous Coward on 2004年02月11日 23時23分 (#493837)
        > SSLなページを開いた瞬間にハードディスクが初期化されたり
        自己署名な証明書だったら警告が出る。
        あの…、「警告がでる」ってコトは、すでにDERデコードしちゃってますが:-)

        もっともSSLなサイトの方はアヤシイとこに近づかなきゃ、とりあえず、避けられそうですが、

        > S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
        MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。
        S/MIMEの署名メールを送りつけられたら、開いた時点で、アウトでしょうね。

        S/MINEが実装されている MUA というと「有名」なOutlook Express がありますが、こいつが開く時点で解析しているのか、一覧する時点である程度解析しちゃっているのか、今のところわかりませんが、なにしろ、その道で「有名」なんで、どうでしょうねぇ。

        親コメント
    • 「バッフォードオーバーフロー」「バッファードオーバーフロー」「ファイアフォール」...

      おまえはいったい何者だ!?

    • 元のACです。なにやら打ちマチガイが多いのは、単に性格のせいなんで、ほっておいてやってください。そうそう簡単には、直りません(^^;
      内容が間違っている点をご指摘いただけますと影ながらヨロこびます。

      さて、

      ウイルス対策ソフトだって、そうすぐには対応できるとは思えないってことでしょ。だって、リアルタイムでDERデコードしなきゃならなくて、しかも、そのデコードにはMS製のライブラリは使えないわけだから。

      これ考えたんですが、実際のトコロはどうなんでしょうか?

      例えばS/MIMEの署名メールに

犯人はmoriwaka -- Anonymous Coward

処理中...