パスワードを忘れた? アカウント作成
2109 story

VAIOのプリインストールプログラムに大穴 11

ストーリー by Oliver
どうしてそうなる的バグ 部門より

k3c 曰く、 "ソニーからの「バイオのセキュリティに関する重要なお知らせ」によれば、「VAIO」シリーズのパソコンのうち特定の機種に、外部から任意のプログラムを実行されてしまう脆弱性を持ったプログラムがプリインストールされていたことが明らかにされました(プレスリリース)。影響を受けるのは昨年5月から12月までの間に発売開始したモデルで、これらのモデルにプリインストールされている「CyberSupport for VAIO」のバージョン3.0または3.1が、電子メールあるいはWebブラウザ経由でHTML形式のファイルを閲覧した場合に何やら悪さをして、任意のファイルを外部から実行されてしまうのだそうです。セキュリティ強化プログラムなるものが既に提供されているので、該当する方(このページの下のほうに該当機種の型番が記載されています)は対策を施した方がよさゲです…。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • この話題はセキュリティセクションだけではなく、表にも出すべきではないだろうか。
    --
    char *A;
    モータースポーツ部 [slashdot.jp]
    • by keita (844) on 2002年01月25日 1時23分 (#57047) 日記
      私もなんでセクションのみの掲載なのかなぁ、と思いました。

      で、高木浩光さんのレポートを見る限りでは
      (セキュリティmemoMLなどに流れてました)、
      ActiveXが機能して、さらに悪意あるHTMLファイルにアクセスした場合に
      この問題が起こるってことなんですね。
      とするとMozillaしか縁のない人にとっては害がない、
      ってことでいいのでしょうか。

      それにしても、Sonyの発表分かりづらいなぁ。
      ActiveXを無効にするとかの一時しのぎの方法も書いておけばいいのに。
      親コメント
      • 特定のハードにしかインストールされてないんで、別にセクションのみの掲載でいいのでは?もっとも、私の場合トップに表示されてましたけど。

        HTMLの表示にIEコンポーネントを使ってるんじゃないかな?
        VAIOマニュアルがどんなものかは知らないのでなんともいえませんけど

        その場合、MozillaつかっててもVAIOマニュアルが使用するhtmlパーサまでMozilla(Gekko)に置き換えられるわけではないので無害とはいえません。

        しかし、ソフト名から推測するに、ローカルでもってるヘルプやマニュアル参照するためのアプリだと思うんですが,なんでこんなもので電子メールや外部Webが参照できるんでしょうか?
        #ちなみに、ThinkPadの場合、メモリ増設方法なども紙のマニュアルには載っておらず、この手のソフトに動画付で載ってました。
        親コメント
        • by k3c (4386) on 2002年01月25日 11時23分 (#57145) ホームページ 日記
          特定のハードにしかインストールされてないんで、別にセクションのみの掲載でいいのでは?
          セキュリティmemoのこの辺の情報 [ryukoku.ac.jp]によれば、CyberSupportは東芝のDynaBook Satellite 1800 [toshiba.co.jp]や日立のPrius Bシリーズ [hitachi.co.jp]などにも搭載されているようです。
          特定のハードで不具合が見つかっても、結果的に他のプロダクト、他のソフトウェアに同様の欠陥が発見されることはよくある(クロスサイトスクリプティングなどはそのいい例でしょう)ので、それを理由に評価を下げるのはちょっと合理的ではないかもしれません。
          注意:DynaBookやPriusに欠陥が発見されたといっているわけではナイ。

          …ただ、/.Jでは、タレコミの重要度をどう判断するかは全面的に編集者に委ねられているので、我々がここで議論して線引きできるというものでもないですよね…結果的には、charさんの意見を反映する形でトップにも表示されましたが。

          議論板 [srad.jp]でも作りますかね?
          親コメント
        • by keita (844) on 2002年01月25日 7時57分 (#57085) 日記
          >特定のハードにしかインストールされてないんで、
          >別にセクションのみの掲載でいいのでは?

          それは問題意識が違うんだと思います。
          今回の件は企業及びマスコミが脆弱性に対して今後どう対処対応していくかの
          試金石であって、とりあえずsonyはうまくやったと言っていいでしょ。
          今後同様の問題が起こっても適切に対応できるかどうかを考えるには
          自分を含めた対象外の人々も注目していい話ではないかと思いますけれど。

          >その場合、MozillaつかっててもVAIOマニュアルが使用するhtmlパーサまで
          >Mozilla(Gekko)に置き換えられるわけではないので無害とはいえません。

          本当にそうなの?
          今回の件は悪意あるHTMLにアクセスすることで発生する問題ということで
          つまりwebとかHTMLメールを見てる時にマズい
          (確かにこれ以外でもIEコンポーネントを使ってる場合はもちろん害あり)。
          しかし実際webはMozillaでメーラはplainテキストしか扱わないよ、
          というのであれば無害ではないでしょうか。
          これはローカルファイルに悪意あるHTMLが存在しないことを仮定してますけど、
          普通そうじゃありませんか? 認識が甘い?

          とにかく、別にマニュアルを見てる時に問題があるとかそういう話ではないので、
          結構深刻なんだと思いますよ。
          メールが届いたから読んでみたらハードディスクの内容が消されちゃいました、
          とかそういう状況が起こり得るので軽視しない方がいいと思います。
          親コメント
        • by youkan (3208) on 2002年01月25日 8時28分 (#57087) 日記
          ジャストのコンセプトベースと関連がある|ない?
           VAIO持っているけど、子供のんだから詳しく見てないけど、どこかにそのような記述があったような気がする。
           オーナーの方、詳しい情報を!
           もしそうだとすれば、Htmlというのも関連があるし、ご本尊のコンセプトベースのセキュリティホールはどうなの、という話にもなるけど。杞憂であればいいけど。
          親コメント
      • (セキュリティmemoMLなどに流れてました)
        そこまで言うならポインタも示された方が。
        http://memo.st.ryukoku.ac.jp/archive/200201.month/2730.html [ryukoku.ac.jp]
        ですね。
        親コメント
  • by Anonymous Coward on 2002年01月25日 5時32分 (#57076)
    最近のVAIOですが、このセキュリティホールもあるし、ジョグダイヤルのソフトが、プリインストールで勝手に立ち上がっていて、殺せない。そして、コイツが悪さをして、立ち上げて30分くらいで、どういうわけかすべてのプロセスを殺してダンマリになってしまう、などの「とんでもない」バグがかなり多い。

    ハードウエアもかなり「やわ」になってきているし、電源の容量不足のトラブルも、多い。だいぶ昔になるが、かつて東芝であったような「電源不足」トラブルだね。とにかく、「ソニータイマ」以前の基本的な設計の問題、というトラブルが大変に多い。

    このままでは「世界のソニー」が「世界の粗悪品、ソニー」になっちゃうと思いますが。。。。
    • by youkan (3208) on 2002年01月25日 10時08分 (#57114) 日記
      MSconfig
      ->スタートアップ
      で、捨てられませんか。
      親コメント
    • by Kow (2603) on 2002年01月25日 11時35分 (#57152) ホームページ 日記
      ジョグダイアルのソフトは殺せるんですよ。
      で、私殺したんですよ。
      そしたらFnキー+ファンクションキーの機能が全て使えなくなったので
      渋々インストールしました。
      でもほんとあれは邪魔です。
      (なので3秒で表示オフになるようにしてます)

      私の認識としてはACPI制御(?)にあのソフトを使ってるんじゃないかと
      思ってるんですが、どーなんでしょ。
      親コメント
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...