Microsoft VMに重大なセキュリティホール 131
ストーリー by Oliver
for(;;) 部門より
for(;;) 部門より
Anonymous Coward曰く、 "マイクロソフトのインターネット・エクスプローラー(IE)のほとんどのバージョンに同梱されている Microsoft virtual machine(Microsoft VM)にセキュリティホールが見つかったようです。危険度は、 Critical となっています。
(Microsoft Security Bulletin MS03-011)
Microsoft VMのByteCode(Javaアプレット)のCheck機能の甘さをついて攻撃者が悪意のあるByteCode(Javaアプレット)をWebページや電子メールを利用してユーザのもとへ送ることにより、データを変更したり、プログラムをロード/実行できてしまうというバグのようです。「場合によっては、ハードディスクを再フォーマットするような処置もできてしまう」という危険性が指摘されています。
影響範囲は全てのMicrosoft virtual machine (all versions)が導入されいるマシーンで、現時点でのパッチ提供は、Windows Updateを利用しての配布となっています。"
重大なセキュリティ (スコア:2, おもしろおかしい)
字数制限があるならMSと略すなり重大な、を削るなり他にいくらでもやりようはあると思うのですが。
Re:重大なセキュリティ (スコア:1, おもしろおかしい)
がる人も多い。
言葉を縮めるにもそれなりの知性が必要と言うことで
すな、一歩間違えると意味が逆転。
Re:省略(オフトピ) (スコア:1)
「IP」だけだと巧くまとまった解説が見つけられなかったので。
「TCP/IP」とは? [ibm.com]
「IPアドレス」とは? [ibm.com]
どうせだからもう一つ。
IPアドレスとは [nic.ad.jp]
もう仕事の時間なので後は自分で調べて下さい(笑)
いよいよわからない (スコア:2, おもしろおかしい)
1.JAVA-VMのバグが危険
2.Windowsが危険
3.こんなバグを出すMSが危険
4.即座にパッチしないユーザーの存在が危険
5.JAVAアプレットという存在が危険
6.現在のプロジェクトの納期が危険
このうち、どれが本当の『危険』なのか
いよいよ見えなくなって来たぞ。
#やっぱり6.かぁ
J2REとMSVMが両方入ってる場合 (スコア:1)
全部J2REで動くようになってたのですが,今日のWindowsUpdateが当たって以降はMSVMで
動いている気がします。
これってどうやって確かめたらいいんですっけ?
……MS叩きたいわけじゃないんですけど,もし本当ならちょっとあんまりかと。
実際に確かめるのが一番 (スコア:2, 参考になる)
Odessa氏 [dti.ne.jp] の システムのプロパティの表示アプレット [dti.ne.jp]を実行して、 ベンダーとバージョンがどうなるチェックしてみるべし。
実際に確かめるのが一番? (スコア:2, すばらしい洞察)
実行環境とか、バージョン確認などのために、こういう外部のサイトを実行してみて確かめるというのは、本当に「一番」なんでしょうか?
「一番確実」という意味では正しいのでしょうが、「一番良い」とは言えないのではないでしょうか。
たとえば、トロイの木馬を仕込んだアプレットを置いて「ここで確認できますよ」なんて事やられちゃったら、安全にしようと思って余計に危険な目に遭っちゃう事になりますよね?
あ、もちろん、このOdessa氏のサイトや、この下のjbeefさんが紹介されてるサイトにトロイの木馬があると言ってるのではありませんよ。
ただ、「確認のために中身を検証していないモノを踏んでみる」というのが「常識化」してしまったのでは本末転倒というか、より危険な状況になってしまうのではないかと思う訳です。
他に調べる手立てが無いのであればしょうがないですが、#296084さんや#296112さんが書かれているように他の手段があるのであれば、「踏んでみて確かめる」というのは好ましくないように感じます。
# #296084さんや#296112さんの書かれている手順で本当に調べられるのかどうかは知りません
Re:J2REとMSVMが両方入ってる場合 (スコア:2, 参考になる)
Re:J2REとMSVMが両方入ってる場合 (スコア:1, 参考になる)
「コントロールパネル」→
「アプリケーションの追加と削除」→
「プログラムのアクセスと既定の設定」→
「規定の Java 仮想マシン」
# 2000/Xpの話。95系列は知らん。
Re:J2REとMSVMが両方入ってる場合 (スコア:1)
何度やってもregutils.dllがないと言われてインストール
できないです。MS JVMのパッチを当てたせいだと思うん
だけど。
アプレットは確かにJRE1.4.1_02で動くようになったけど
Swingアプリケーションは無理やりMS JVMで動かそうと
しているようで、例外で落ちて動きません。おまけに
今回のアップデートはアンインストール不可。いったい
どうしろと。
Re:J2REとMSVMが両方入ってる場合 (スコア:1)
自分が間違っておりました。
JREのインストールでエラーが出るのは確かですが
インストールそのものはされているようです。
Swingアプリは正しく動きました。ただ、既定のVM
でMSVMの項目が消えなくなりました。なんかすごく
いやな感じ。
Re:J2REとMSVMが両方入ってる場合 (スコア:1)
コマンドプロンプトで jview とか
Re:J2REとMSVMが両方入ってる場合 (スコア:1)
ろくに調べもせずに書き込んでしまいました。仰るとおりです。ああ恥ずかしい。
Re:J2REとMSVMが両方入ってる場合 (スコア:1)
すると、SUNのJREが有効になっている場合には、Applet実行時にコンソールが表示されるはずです。逆にMS VMであれば表示されないはず。
WindowsUpdateのみかとおもったら (スコア:1)
そのうち無くなるだろうからお早めに・・・!?
NEC以外 [microsoft.com]
NEC用 [microsoft.com]
たしか前のJavaVMもこういう中途半端な事になっていたんだが、
どういう意図でWindows2000だけか意図がよくわからん。
WindowsUpdateが遅くてしょうがないならこっちの方が手っ取り早いかも
Re:WindowsUpdateのみかとおもったら (スコア:1)
あちこちの SIer を巻き込んで問題になっているのが WindowsXP 用に提供される(されていた) Microsoft JavaVM で、こちらの修正プログラムは WindowsUpdate 経由でしかダウンロードできません。
とは言いつつも、実際には WindowsXP 用修正プログラムも、 WindowsUpdate カタログ経由で個別にダウンロードできますけど。
Windows2000は最初から (スコア:1)
いわゆる「重要ファイルをキャッシュに保存していて意図外のバージョンに置き換えられると勝手に書き戻される」システムが働くわけです。
(そのくせIEやMDACやMSXMLとかはその辺にあまり頓着していない入り方をするので違う意味で困ってしまいますが)
XP用は、Java VMがOS標準配布コンポーネントでなくなってしまっていたが故に(SP1以前)、SDKの形でしか再配布パッケージは用意されていませんでしたが(現在はこれも入手不可)、98/Me用と共用のインストールファイルになっていましたね。
Windows Updateで入手可能なアーカイブの内容が98/Me/NT用とXP用が同じであるならば、それの傍証にはなるかもしれません。
# それよりも、Windows Update カタログで、NT4.0用ファイルが単独で取得できないことのほうが気になる。サポート切れ目前とはいえ、ダウンロード出来ておかないと困るのだが。98/98SE/Meはカタログが取得できるのに。
Re:WindowsUpdateのみかとおもったら (スコア:1)
SUSのことを言っていると思って良い?
だったらSUS1.0 SP1でドメコンとの共存が可能になった。
とリリースノートに書いてあります。
#試してはいない
このツール展開が面倒。。。
修正プログラム (スコア:1, 参考になる)
現在はWIn2000用のものだけだけれど、その他のOS用のもダウンロードできるようになるのかな?
# アナログモデム & テレホ の私としては修正プログラムを
# ローカルに保存しておけるのはありがたいわけで…
Re:修正プログラム (スコア:1)
for(;;) 部門 (スコア:1, おもしろおかしい)
泣かされている人部門」の事だと思ったのは私だけではあるまい。
Re:for(;;) 部門 (スコア:1, すばらしい洞察)
Re:for(;;) 部門 (スコア:2, すばらしい洞察)
当然それらに引っ掛けた上で、「無限ループ」という意味が主かと。
無限ループなのは「MSのセキュリティ問題」ではなくて、「セキュリティ問題」ですけどね。
あのー (スコア:1)
× インストールされた更新はありません
次の項目はインストールできませんでした。再度インストールを試みるには、[更新の確認とインストール] をクリックし、[今すぐインストールする] を再びクリックしてください。
816093 : セキュリティ問題の修正プログラム - Microsoft virtual machine (Microsoft VM)
インストールの履歴の表示
みんつ
Re:あのー (スコア:2, 参考になる)
修正プログラムが出た直後のWindowsUpdateは重くて、なかなかダウンロードできなかったり、失敗したりすることがあるので、ダウンロードセンターから直接パッチをダウンロードして摘要することをオススメします。
Re:あのー (スコア:1, おもしろおかしい)
windows95の人へ (スコア:1)
http://nx.sakura.ne.jp/~chanbaba/bbs/b/k/kensaku/9/qvzusg/index.html [sakura.ne.jp]
Re:windows95の人へ (スコア:1)
マイクロソフトの考えている「共に」って一つの圧縮ファイルに同梱しなければ駄目って定義付けられているのだろうか?
CD-ROMにVM同梱していた場合、VMの「修正パッチ」が出たら、パッチだけ提供する事に関し、容認しているようにも感じる。
特に後半の「再び入手できるようになるでしょう」って、今は出来ないので問題である事をマイクロソフトは認識していますよね。
後、名前聴いた事ある企業のサイトでもVM単体で配布されているのを見ました。まだ、3805や3809だったのでそこからはダウンしなかったが。
マイクロソフトの解釈ってどうなんだろうね。
VMのパッチが出る度に「アプリも全てダウンさせろ」と言っているようにも感じるが、アプリのサイズが大きかったら問題になるよね。
Re:たまにはほめてみるか。 (スコア:3, おもしろおかしい)
# とだけ書いてスコア5になっている記事を本家で以前に見た。
Re:たまにはほめてみるか。 (スコア:1)
# あ、対応してないディストリビューションか・・・
taka4
Re:たまにはほめてみるか。 (スコア:1)
のでapt-getの方がいいかも・・・
taka4
Re:たまにはほめてみるか。 (スコア:1, おもしろおかしい)
Re:たまにはほめてみるか。 (スコア:1, おもしろおかしい)
たしかに今更だけど (スコア:1)
だれもが自分の知ってることを知ってるという保証はないし、偏りすぎたモノのみが提示されてる状況は好ましくないよ。
Re:たまにはほめてみるか。 (スコア:1)
えーと、その後の、11月中旬からMS本領発揮モードに入って今も続いているような気がするのだが、どうだろう。11月27日って...すでになんか発覚してなかったっけ?
Re:運まかせ (スコア:1)
起動不能になった方がマシだと思ってるとか。
Re:運まかせ (スコア:2, すばらしい洞察)
「僕のマシンが踏み台にされるくらいなら起動不能になった方がまし」
という人は少なからず居るのでは?
Re:運まかせ (スコア:1, 興味深い)
踏み台にされた方がまし」
という人間の方が多いんじゃないかなぁ~
個人ユーザーレベルでは。
Re:運まかせ (スコア:1)
[udon]
Re:運まかせ (スコア:1, すばらしい洞察)
>起動不能になった方がマシだと思ってるとか。
でも、本当はそう思ったことありません?
こんな奴らのマシンが踏み台にされて俺の責任になるぐらいなら、みんな起動不能なってしまえって思ったことないですか?
#こんなこと口が裂けてもIDでは言えない
Re:運まかせ (スコア:1, おもしろおかしい)
あなたは、ちょっと人を見下す傾向がある、程度の常識人です。陰謀とか電波飛んだこと言い出さないので、普通の人のうちです。
> #296113を皮肉や冗談だと思わない人達は
疲れがたまっているようですね。気合で有給を取ってリフレッシュに出かける事をお勧めします。ゴールデンウィーク辺りに取れるといいですね。
# 取れなさそうなのでAC
Re:運まかせ (スコア:1)
Mac OS Xなら有り得そうな気がしなくもない。
# iTunesの悪夢。
はすかわ
Re:運まかせ (スコア:1)
機種依存でしたけども。
[udon]
Re:運まかせ (スコア:1, すばらしい洞察)
二輪車に乗る必要があるのか、の議論をしないからじゃないの?
Re:運まかせ (スコア:1)
その三輪車がちゃんとしたものならね。
# この三輪車、運用するのが物凄く大変なんですけど...
・自動更新なんて怖くてできない。
ファイアウォールとアンチウィルスソフトで固めてパッチは最小限にしてます。
ウィルスで業務が停まっても怒られないけど、パッチで業務がとまったら始末書とか減給とか喰らうもん。
(ウィルスにやられても会社の外に出なきゃいいので、業務に影響なけりゃ終業まで放っておく[笑])
自動更新機能を誉める人って、最悪のケースを想像できないんでしょうか?
マシンが起動不能になるバグって何回でましたっけ?
(SunとかIBMのパッチでマシンが起動不能になるって障害は聞いたことないです。業務が停まったって話はチラホラ聞きますが。)
『同じ機械』『同じバージョン』に揃えた機械が数百台ある企業で、
そういう『業務停止』の事態が発生したら損害は幾らになると思います?(管理コストの節約分なんぞ一発で吹き飛びます)
MSってのは、そういう事態を結構な確率で発生させていると思えるのですが…どうでしょうか?
notice : I ignore an anonymous contribution.
Re:運まかせ (スコア:1)
(I can't get no) satisfaction
Re:運まかせ (スコア:1)
Windowsなんとかの自動更新機能でパッチの適用まで自動でやってる人って、どれくらいいる?
俺おっかなくて出来ないから、危なくなさそうで一番便利そうな[ダウンロードだけ済ませてインストール前に通知]にしてるんだけども。
# up2dateにも同等のオプションがあるといいなあと思う
apt-get update/upgrade自動だなんてそんな。
samba経由でファイル転送してる最中に更新かかっちゃったらどうするのよ(汗
Re:運まかせ (スコア:1, 参考になる)
あとは通知する仕組みだけど、この辺はスクリプトとメールで簡単にできそう。
Re:たまにはほめてみるか。 (スコア:1)
しかもリジューム機能がないので、シャットダウンorリブートした時、ダウンロード中のファイルは、きっちりと先頭からやり直すので、下手をすると永久にダウンロード完了しません。
定額系のナローバンド(AirH”とかフレッツISDNとか)なら、それで済みますが、非定額なナローバンドやテレホーダイ利用で、有効にしよう物なら...電話代想像したくないですね。
このままWindowsUpdateへの依存度が強まれば、回線環境によっては、少なくともシェアが高く、ソフトや周辺機器サポートも充実しているOSを選択肢から外すことを迫られるわけですから、これもデジタルデバイドの一形態ともいえるのかもしれないが...微妙かも
Re:いえいえ、必要なんです (スコア:1)
Microsoft VM でないとツライです。