パスワードを忘れた? アカウント作成
5473 story

Microsoft VMに重大なセキュリティホール 131

ストーリー by Oliver
for(;;) 部門より

Anonymous Coward曰く、 "マイクロソフトのインターネット・エクスプローラー(IE)のほとんどのバージョンに同梱されている Microsoft virtual machine(Microsoft VM)にセキュリティホールが見つかったようです。危険度は、 Critical となっています。 (Microsoft Security Bulletin MS03-011)
Microsoft VMのByteCode(Javaアプレット)のCheck機能の甘さをついて攻撃者が悪意のあるByteCode(Javaアプレット)をWebページや電子メールを利用してユーザのもとへ送ることにより、データを変更したり、プログラムをロード/実行できてしまうというバグのようです。「場合によっては、ハードディスクを再フォーマットするような処置もできてしまう」という危険性が指摘されています。
影響範囲は全てのMicrosoft virtual machine (all versions)が導入されいるマシーンで、現時点でのパッチ提供は、Windows Updateを利用しての配布となっています。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 重大なセキュリティ (スコア:2, おもしろおかしい)

    by Stahl (7211) on 2003年04月10日 15時19分 (#296069)
    はないでしょう、ホールを削りますか(汗
    字数制限があるならMSと略すなり重大な、を削るなり他にいくらでもやりようはあると思うのですが。
  • いよいよわからない (スコア:2, おもしろおかしい)

    by bluecar (14025) on 2003年04月11日 2時48分 (#296467) 日記
    これだけ頻繁に脆弱性が取りざたされると、

    1.JAVA-VMのバグが危険
    2.Windowsが危険
    3.こんなバグを出すMSが危険
    4.即座にパッチしないユーザーの存在が危険
    5.JAVAアプレットという存在が危険
    6.現在のプロジェクトの納期が危険

    このうち、どれが本当の『危険』なのか
    いよいよ見えなくなって来たぞ。

    #やっぱり6.かぁ
  • なんか,MSVM入ってる端末に以前J2REをインストールしてブラウザ上でのJavaアプレットは
    全部J2REで動くようになってたのですが,今日のWindowsUpdateが当たって以降はMSVMで
    動いている気がします。
    これってどうやって確かめたらいいんですっけ?

    ……MS叩きたいわけじゃないんですけど,もし本当ならちょっとあんまりかと。
    • by Anonymous Coward on 2003年04月10日 15時52分 (#296087)
      実際に Applet を動かして確かめるのが一番確実でしょう。

      Odessa氏 [dti.ne.jp] の システムのプロパティの表示アプレット [dti.ne.jp]を実行して、 ベンダーとバージョンがどうなるチェックしてみるべし。
      親コメント
      • by Anonymous Coward on 2003年04月10日 18時31分 (#296199)
        # どこにコメントしようかと悩んだけど、とりあえずサブジェクト的にここにしてみた。

        実行環境とか、バージョン確認などのために、こういう外部のサイトを実行してみて確かめるというのは、本当に「一番」なんでしょうか?
        「一番確実」という意味では正しいのでしょうが、「一番良い」とは言えないのではないでしょうか。
        たとえば、トロイの木馬を仕込んだアプレットを置いて「ここで確認できますよ」なんて事やられちゃったら、安全にしようと思って余計に危険な目に遭っちゃう事になりますよね?

        あ、もちろん、このOdessa氏のサイトや、この下のjbeefさんが紹介されてるサイトにトロイの木馬があると言ってるのではありませんよ。
        ただ、「確認のために中身を検証していないモノを踏んでみる」というのが「常識化」してしまったのでは本末転倒というか、より危険な状況になってしまうのではないかと思う訳です。

        他に調べる手立てが無いのであればしょうがないですが、#296084さんや#296112さんが書かれているように他の手段があるのであれば、「踏んでみて確かめる」というのは好ましくないように感じます。

        # #296084さんや#296112さんの書かれている手順で本当に調べられるのかどうかは知りません

        親コメント
    • by jbeef (1278) on 2003年04月10日 15時53分 (#296089) 日記
      これってどうやって確かめたらいいんですっけ?
      ここ [java-house.jp] で確認できます。
      親コメント
    • by Anonymous Coward on 2003年04月10日 16時29分 (#296112)
      > これってどうやって確かめたらいいんですっけ?

      「コントロールパネル」→
      「アプリケーションの追加と削除」→
      「プログラムのアクセスと既定の設定」→
      「規定の Java 仮想マシン」

      # 2000/Xpの話。95系列は知らん。
      親コメント
      • J2SDK1.4.1_02をインストールしようとしてるんですが、
        何度やってもregutils.dllがないと言われてインストール
        できないです。MS JVMのパッチを当てたせいだと思うん
        だけど。
        アプレットは確かにJRE1.4.1_02で動くようになったけど
        Swingアプリケーションは無理やりMS JVMで動かそうと
        しているようで、例外で落ちて動きません。おまけに
        今回のアップデートはアンインストール不可。いったい
        どうしろと。
        親コメント
        • 自己レス
          自分が間違っておりました。
          JREのインストールでエラーが出るのは確かですが
          インストールそのものはされているようです。
          Swingアプリは正しく動きました。ただ、既定のVM
          でMSVMの項目が消えなくなりました。なんかすごく
          いやな感じ。
          親コメント
    • コマンドプロンプトで jview とか

      親コメント
    • コンパネにあるJavaPlug-Inコントロールパネルで[コンソールを表示]を選択しておきます。
      すると、SUNのJREが有効になっている場合には、Applet実行時にコンソールが表示されるはずです。逆にMS VMであれば表示されないはず。
      親コメント
  • Windows2000(Sp2, Sp3)用だけなぜかダウンロードサイトから入手できた。
    そのうち無くなるだろうからお早めに・・・!?

    NEC以外 [microsoft.com]
    NEC用 [microsoft.com]

    たしか前のJavaVMもこういう中途半端な事になっていたんだが、
    どういう意図でWindows2000だけか意図がよくわからん。
    WindowsUpdateが遅くてしょうがないならこっちの方が手っ取り早いかも
    • Windows2000 用は、もともと普通に修正プログラムをダウンロードできます。

      あちこちの SIer を巻き込んで問題になっているのが WindowsXP 用に提供される(されていた) Microsoft JavaVM で、こちらの修正プログラムは WindowsUpdate 経由でしかダウンロードできません。

      とは言いつつも、実際には WindowsXP 用修正プログラムも、 WindowsUpdate カタログ経由で個別にダウンロードできますけど。
      親コメント
    • by aoyamatk (3972) on 2003年04月11日 2時47分 (#296465)
      Java VMは、システムファイルの一部として入っていましたので、Windowsファイル保護機能 [microsoft.com]によって、サービスパックや各種hotfixと同様の入れ方をしないといけないことになっています。

      いわゆる「重要ファイルをキャッシュに保存していて意図外のバージョンに置き換えられると勝手に書き戻される」システムが働くわけです。
      (そのくせIEやMDACやMSXMLとかはその辺にあまり頓着していない入り方をするので違う意味で困ってしまいますが)

      XP用は、Java VMがOS標準配布コンポーネントでなくなってしまっていたが故に(SP1以前)、SDKの形でしか再配布パッケージは用意されていませんでしたが(現在はこれも入手不可)、98/Me用と共用のインストールファイルになっていましたね。

      Windows Updateで入手可能なアーカイブの内容が98/Me/NT用とXP用が同じであるならば、それの傍証にはなるかもしれません。

      # それよりも、Windows Update カタログで、NT4.0用ファイルが単独で取得できないことのほうが気になる。サポート切れ目前とはいえ、ダウンロード出来ておかないと困るのだが。98/98SE/Meはカタログが取得できるのに。
      親コメント
  • 修正プログラム (スコア:1, 参考になる)

    by Anonymous Coward on 2003年04月10日 16時37分 (#296119)
    Microsoft VM の問題により、システムが侵害される (816093) (MS03-011) [microsoft.com]を見たところ、MS02-069 [microsoft.com]のときとは違い、Windows Update [microsoft.com]を使わなくても修正プログラムをダウンロードできるようですね。

    現在はWIn2000用のものだけだけれど、その他のOS用のもダウンロードできるようになるのかな?

    # アナログモデム & テレホ の私としては修正プログラムを
    # ローカルに保存しておけるのはありがたいわけで…
  • for(;;) 部門 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年04月10日 17時00分 (#296142)
    てっきり(;;)が泣き顔で「MSのセキュリティ問題にいつも
    泣かされている人部門」の事だと思ったのは私だけではあるまい。
    • Re:for(;;) 部門 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年04月10日 17時11分 (#296153)
      forが付いてるので「MSのセキュリティ問題にいつも泣かされている人部門」ではないかと
      親コメント
      • Re:for(;;) 部門 (スコア:2, すばらしい洞察)

        by visha (779) on 2003年04月10日 17時43分 (#296176) 日記

        当然それらに引っ掛けた上で、「無限ループ」という意味が主かと。

        無限ループなのは「MSのセキュリティ問題」ではなくて、「セキュリティ問題」ですけどね。

        親コメント
  • by minz (3213) on 2003年04月10日 18時31分 (#296198) ホームページ 日記
    Windows Update かけたんですが、以下の通り…どうしろと。

    × インストールされた更新はありません

    次の項目はインストールできませんでした。再度インストールを試みるには、[更新の確認とインストール] をクリックし、[今すぐインストールする] を再びクリックしてください。

    816093 : セキュリティ問題の修正プログラム - Microsoft virtual machine (Microsoft VM)

    インストールの履歴の表示
    --
    みんつ
    • Re:あのー (スコア:2, 参考になる)

      by mura-masa (3554) on 2003年04月10日 20時04分 (#296244)

      修正プログラムが出た直後のWindowsUpdateは重くて、なかなかダウンロードできなかったり、失敗したりすることがあるので、ダウンロードセンターから直接パッチをダウンロードして摘要することをオススメします。

      親コメント
    • Re:あのー (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年04月10日 18時37分 (#296202)
      インストールできるまで for(;;)
      親コメント
  • ダウンロードとインストール出来たので報告。
    http://nx.sakura.ne.jp/~chanbaba/bbs/b/k/kensaku/9/qvzusg/index.html [sakura.ne.jp]
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...