DirectXにバッファオーバーラン脆弱性、WebとHTMLメールで発動

DirectXにバッファオーバーラン脆弱性、WebとHTMLメールで発動 72

ストーリー by wakatono 2003年07月24日 13時22分
覚えのないMIDIデータも危ない部門より

k3c 曰く、 "マイクロソフトのセキュリティ情報MS03-030(英語情報)によれば、DirectXのバージョン5.2～9.0aにおいてMIDIファイルのパラメータチェックに問題があり、バッファオーバーフローによって任意のプログラムやスクリプトをログインしているユーザの権限で動作させられる可能性がある。WebページにExploitを仕込んだファイルへのリンクを貼る、またはネットワーク共有で実行させたり、Webページに埋め込むことで発動させられる。また、HTMLメールを表示させることでも発動させられるという。重要度は「緊急(Critical)」となっており、Windows98以降の全てのバージョンのWindowsユーザーが対象。WindowsとDirectXのバージョンの組み合せによってダウンロードするファイルが異なるので、セキュリティ情報をきちんと確認すべし。…なお、Windows NT 4.0以外では同時にリリースされたDirectX 9.0bをインストールすることでも穴をふさぐことができる。"

また、ramsy曰く、"DirectX 9のセキュリティホールが発表、パッチ配布が始まりました。
ただXPで試した限りでは表示されている内容と実際にダウンロードされる内容が微妙に異なる場合があるようです。
Windows XP及び2003ではデフォルトのDirectXは8.1で、 Windows UpdateとWindows Update Catalogはそれに対する修正パッチになっています。
ところが、DirectX9a (DirectX9の環境では未確認)をインストールしている環境ではWindows Updateのみ、 9.0bへの差分パッチが適用されるようになっており、 Windows Update Catalogから落としてもDirectX 8.1に対するパッチしか持ってくることが出来ません。
また、9.0もしくは9.0aをゲームインストールなどで強制的にインストールされた場合、またこのセキュリティホールが顕在化することにもなります。
DirectX 8.1のままの人も、問題がなければこの機会に9.0bにあげておいたほうがいいかもしれません。"とのこと。

…このところ多いな…

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索72コメント Log In/Create an Account

プログラマーは要注意 (スコア:3, 参考になる)

by Fortune (6210) on 2003年07月24日 19時49分 (#365034) 日記

DirectXSDKを使っているプログラマーは、パッチをあてた方がよさそう。
環境無くて半分しか試せてないんだけど、DirectX9.0aSDKを入れていて、9.0bランタイムを入れると、デバッグ関連の機能が一切使えなくなります。（確認済み…）
9.0bのSDKが出れば解決するだろうけど、まだ無いようです。

で、ここからが環境が無くて試せてないんですが、おそらくパッチをあてるだけならランタイムのバージョンが上がらない（と思う）ので、引き続きデバック機能なども問題なく使えるはず。
- Re:プログラマーは要注意 (スコア:2, 参考になる)
  
  by naka64 (4590) on 2003年07月25日 7時42分 (#365321) 日記
  
  MYCOM PCWEBに9.0bSDK出現との一報が。見ると英語版だけの模様。
  Microsoft、DirectXの最新版「DirectX 9.0b」を正式公開 [mycom.co.jp]
  DirectX 9.0 Software Development Kit (SDK) with DirectX 9.0b Runtime [microsoft.com]
  
  シェア
  
  親コメント
  - Re:プログラマーは要注意 (スコア:1)
    
    by Fortune (6210) on 2003年07月25日 9時57分 (#365368) 日記
    
    > 見ると英語版だけの模様。
    元々、DirectXSDKは英語版だけなので問題ないかと。
    
    > （DirectX 9.0 Software Development Kit (SDK) with DirectX 9.0b Runtime [microsoft.com]より）
    > There are no new or modified APIs in this release.
    という事で、9.0bでは機能の追加削除はされていないようなので、各種ドキュメントもそのまま使ますね。
    
    シェア
    
    親コメント
  - Re:プログラマーは要注意 (スコア:1)
    
    by ramsy (8353) on 2003年07月25日 9時58分 (#365370) ホームページ日記
    
    そもそも、DirectX 9.xのSDKに日本語版はなかったように思います。
    9.0(無印)の時には追加コンポーネントとして日本語ドキュメントがあっただけです。
    これは9.0aのときにも更新されていません。
    
    --
    # rm -rf ./.
    
    シェア
    
    親コメント
DirectX以外にもあるみたいです (スコア:2, 参考になる)

by t-wata (10969) on 2003年07月24日 14時27分 (#364830) 日記

日経ITProの記事 [nikkeibp.co.jp]によると、SQLServerも深刻度「重大」のパッチが出てます。
さ～て、来週のhotfixさんは～～～? (スコア:2, おもしろおかしい)

by Anonymous Coward on 2003年07月24日 14時29分 (#364836)

ゲイツです。
最近「hotfixが多い」という声を耳にします。
一見WindowsがLinuxよりもアブないOSに見えるかも
しれませんが、ちゃんとパッチを当ててれば大丈夫。
変な噂に惑わされないようにしてくださいね。

さて次回のhotfixさんは
MS03-032
MS03-033
MS03-034
の３本です。
- Re:さ～て、来週のhotfixさんは～～～? (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2003年07月24日 18時17分 (#364985)
  
  「んっ、がっ、ぐっぐ……」
  hotfix を喉に詰まらせて目を白黒させるの図。
  
  シェア
  
  親コメント
- Re:さ～て、来週のhotfixさんは～～～? (スコア:1)
  
  by ramsy (8353) on 2003年07月25日 10時11分 (#365381) ホームページ日記
  
  まぁなんだ、quartz.dll のBuildDateは2003/05/30なわけで…
  
  --
  # rm -rf ./.
  
  シェア
  
  親コメント
- Re:さ～て、来週のhotfixさんは～～～? (スコア:0)
  
  by Anonymous Coward
  
  先週 029/030/031 でやってれば神だったのにな（ｗ
最高級脆弱性 (スコア:2, 参考になる)

by Anonymous Coward on 2003年07月24日 14時41分 (#364848)

最近脆弱性の出現がおびただしい量になってきて
感覚マヒしてその手の情報を無視する人が増えてきそうですが
このMS03-030は最近出てきた緊急の脆弱性の中でも
最高級だと思います。(MS03-023も同等かな)

ほとんど全てのWindows、ほとんど全てのバージョンのDirectXが対象。
ウェブやメールで得た悪意ある不正なMIDIデータを再生するだけで
任意のコードの実行です。
MS03-023 (7/9) 付近からMS03-031 (7/24) までたった半月の間に
強烈な脆弱性がたっぷり出ていますので
世界を騒がせ歴史に名を残すようなエレガントなvirus/wormの出現も
時間の問題ではないかと予想してしまいます。

そろそろきますよ。耐衝撃体勢。
- Re:最高級脆弱性 (スコア:2, 興味深い)
  
  by alp (1425) on 2003年07月24日 17時16分 (#364945) ホームページ日記
  
  ダメをダメと比較するのもナンですが。
  音楽再生は設定で止められますから、MS03-030 より、MS03-023 のほうがまずい。まぁ、この辺と、もう一つ大緊急の MS03-026 組み合わせたウィルス/ワームが来たら社内の Windows 環境なんて一瞬で瓦解しますねぇ。確かに時間の問題でしょうし。
  
  シェア
  
  親コメント
  - Re:最高級脆弱性 (スコア:1)
    
    by k3c (4386) on 2003年07月24日 18時01分 (#364975) ホームページ日記
    
    英語の情報なのでアレですが、サポート技術情報819696 [microsoft.com]には、サポート技術情報823980 [microsoft.com](MS03-026に対応：日本語版 [microsoft.com])に見られるような「回避策(Workaround)」の項目がないので、設定では回避できないのではないかと思うのですが…？
    
    設定で回避できるという情報があればポインタ希望＞誰にとはなく
    
    シェア
    
    親コメント
大多数の普通の人にとっての一大事業。 (スコア:2, 興味深い)

by arainorika (16504) on 2003年07月24日 19時41分 (#365029) ホームページ

>WindowsとDirectXのバージョンの組み合せによってダウンロードするファイルが異なるので、セキュリティ情報をきちんと確認すべし。

とありますが、大多数の普通の人（含、私の両親）にしてみると、まずパッチのダウンロードという時点であきらめモードです。「とてもそんな難しい作業云々・・・」
そのうえ、対象となるパッチが色々異なっている、ということでは、恐らく世の中のほとんどの人が、このバグを放置したまんまになりそうな気がします。

/.Jに来られる諸氏にとっては、日常業務の一端といったノリでできそうな気もしますが(と言うと言い過ぎか?:P)、もう少し簡略化できないものでしょうかねぇ。

いや、だからといって、これといった建設的な意見があるわけでもないのですが、例えばシステムの情報を自動的に取得して必要なパッチを自動的に適用してくれるような仕組みとか。
いうなれば、MacOS-Xのソフトウェアアップデート機能みたいなもの。Win2000までしか日常的に触れていないのでWinXPは良く知らないのです(もしもそういった機能が実現されているのならお教え願います)が、普通の人に対してパッチを適用してもらいたいのなら、「何にも考えないでボタン一つで完了！」ってくらいのものにしないと駄目なんじゃないかなと思います。長文すみませんでした。
- Re:大多数の普通の人にとっての一大事業。 (スコア:1)
  
  by Fortune (6210) on 2003年07月24日 20時01分 (#365038) 日記
  
  今回の場合でもWindowsUpdateで対応できますよ。
  だいたい9.0bのランタイムを入れるようになってるみたいですが。
  一般の方でDirectXのバージョン上げて困る事は無いと思うので、それでOKかと。
  
  まぁ、WindowsUpdateやWindowsの自動更新でも「よくわからない」と言われると、お手上げですが…。
  
  ＃そういう人に限って、表示された内容を読む前から「分からない」と
  ＃決め付けている事って多いんですよね :-P
  
  シェア
  
  親コメント
  - Re:大多数の普通の人にとっての一大事業。 (スコア:1)
    
    by abilitei (1889) on 2003年07月25日 0時49分 (#365222)
    
    とりあえず、うちの学校の２０台だけUpdateかけましたが・・・
    ファイルが見つかりませんとメッセージを途中でだしたのが５～６台
    でてきましたので再試行をかけて放置してきました。
    まーそういうことで、明日の朝にはUpdate出来ていないのが１０台以
    上あることでしょう。ナローバンドって大変です。
    まぁ、来月末にはADSLになるので、いいんですけどねぇ。
    
    問題は残り１００台以上のパソコンだな・・・
    
    シェア
    
    親コメント
    - Re:大多数の普通の人にとっての一大事業。 (スコア:1)
      
      by ramsy (8353) on 2003年07月25日 11時12分 (#365412) ホームページ日記
      
      そう言う人たちのための9.0b 再配布パッケージだとおもうんですけど…
      
      --
      # rm -rf ./.
      
      シェア
      
      親コメント
  - - 泣いてます (スコア:1)
      
      by Stella_NF (16117) on 2003年07月25日 9時26分 (#365349)
      
      親のパソコンに１年分のパッチを当てたばかりだというのに。
      ナローバンドだから２時間近くかかりそうです。
      
      何度言ったらパッチ当てを理解してもらえるのだろう。
      （「面倒」とか、「大丈夫」とか言うんだよな）
      
      シェア
      
      親コメント
      - Re:泣いてます (スコア:1, 興味深い)
        
        by Anonymous Coward on 2003年07月25日 10時01分 (#365374)
        
        しかし、このペースでは理解してもらえても無理っぽくない？
        週１回２時間かけてパッチ当てなんて、
        一般御家庭では（必要性を理解しても）ついていけないと思ふ。
        かと言ってパッチを無視すれば他人に迷惑をかける危険性がある。
        ナローバンドはネットに繋ぐ資格を否定されているようなもんだ。
        
        シェア
        
        親コメント
    - - 差分でも (スコア:1, 参考になる)
        
        by Anonymous Coward on 2003年07月24日 22時53分 (#365121)
        
        DirectX8.1から9.0bだとそれなりのサイズが(^-^;)。
        家(1Mbps程度)で5分くらいだから10～40MBくらいですか。
        # 8.1用パッチの在処は分からんかった
        
        シェア
        
        親コメント
- - Re:普通のWindowsユーザではないわな。 (スコア:1)
    
    by arainorika (16504) on 2003年07月24日 21時13分 (#365074) ホームページ
    
    あはは:Dもうしわけないです。 Windows2000は、研究室のスキャナやら、実験装置やらについているものをいじっている程度なので、自分で所有しているわけじゃないのです。
    
    それだけ広く知れ渡っているのだとしたら、確かに自分だけ世の中から取り残されてしまったってだけなんでしょうね（トホホ）
    
    冒頭のタレコミ文中で「ダウンロードするファイルが異なるから注意してね」といった感じの記述があったので、「そういうことを考えずにパッチを当てられるようにならないかなぁ」と、思い良く確認しないまま投稿してしまいました。モウシワケナイ。
    
    シェア
    
    親コメント
  - Re:普通のWindowsユーザではないわな。 (スコア:1)
    
    by USH (8040) on 2003年07月24日 23時33分 (#365150) 日記
    
    でも、その WindowsUpdate が結構曲者で、うちのマシンでは途中で止まるんですよね。
    ほんでもって、強制的におわらせて、次もういっかい update すると、前回のが残っているとかでおこられて、やるとまた止まる。
    
    どうせ真剣に使ってない(ほぼプリンタサーバ的につかってるだけ)やつなので、うっちゃってますが。
    
    シェア
    
    親コメント
Windows 2003 Serverは… (スコア:1)

by Fortune (6210) on 2003年07月24日 15時17分 (#364866) 日記

Windows2003Serverは、デフォルトでIEのセキュリティレベルの設定が
高いから「重要」になってるけど、そもそもServerにDirectXって必要
なのか？
サーバー上でゲーム動かすやつなんていないだろうに。それとも私が
知らないだけでサーバーの機能に必要とか？！

DirectXもIEと一緒で、もう「OSの一部」になちゃったのかねぇ…。
- Re:Windows 2003 Serverは… (スコア:1)
  
  by Tak.M (6722) on 2003年07月24日 16時38分 (#364918)
  
  ネットワークシステムをラッピングするDirectPlay [microsoft.com]というのがあるようです。
  
  ある種のサーバソフトを提供する場合には、もしかするとサーバにこれをインストールしておく必要があるかもしれません。
  
  具体的にどんなもので DirectPlay を使っているのかは知りません。
  
  シェア
  
  親コメント
- Re:Windows 2003 Serverは… (スコア:1)
  
  by snapcat (17051) on 2003年07月24日 16時52分 (#364930) ホームページ日記
  
  私、Windows2000ServerでDirectXのゲーム遊んでます（＾＾；
  
  で、やはり将来的にOSの一部になるんじゃないかと。
  Longhorn（でしたっけ？）はまさにそんな感じだったような……
  
  個人的にはOSの一部になってしまってくれる方が、
  すごい古いバージョンでの動作確認が不要になってくれそうでありがたいかも……
  
  シェア
  
  親コメント
- Re:Windows 2003 Serverは… (スコア:1)
  
  by rti (659) on 2003年07月24日 23時00分 (#365124) ホームページ
  
  音楽をストリーミングで配信するサーバとかには必要だと思います。
  
  --
  by rti.
  
  シェア
  
  親コメント
Win2000SP4だと安心？ (スコア:1)

by tuneo (2938) on 2003年07月24日 23時35分 (#365151) ホームページ日記

英語のページを見てみましたが、

The fix for this issue is included in Windows 2000 Service Pack 4.

と書いてありますので、Windows 2000 Service Pack 4適用済みなら大丈夫だそうです。
- 安心じゃない (スコア:1, 参考になる)
  
  by Anonymous Coward on 2003年07月25日 23時04分 (#365777)
  
  Microsoftの情報を確認してみたところ、Windows2000について
  -DirectX7.0の場合にはWindows2000SP3に当てられるパッチがあり、このパッチはSP4に含まれます。
  -DirectX8.0の場合は9.0bにバージョンアップするしかありません。
  -DirectX9.0/9.0aの場合は修正プログラムがあります。
  ということでした。
  家の場合はWindows2000SP4だけど、DirectX8.1だったので……9.0bにするしかなかったようですな。
  
  シェア
  
  親コメント
- - Re:Win2000SP4だと安心？ (スコア:1)
    
    by tuneo (2938) on 2003年07月25日 21時11分 (#365727) ホームページ日記
    
    > もしかして慌ててDirectX9.0bに上げて失敗
    別に失敗でもないでしょう。
    
    > # いやDirectXはバージョンダウンできないし、微妙に動かないソフトが出ることもあるので
    DirectXをサービスパックと置き換えても同じことです。
    
    …あれ？となるとSP4当ててからDX9.0bを入れるというのは、最悪の場合失敗の自乗になるわけか？
    
    途中から慰めになってないですか、そうですか…。
    
    シェア
    
    親コメント
Windows95 ユーザはどうすればいいでしょう (スコア:1)

by passer-by (13494) on 2003年07月25日 10時43分 (#365398) 日記

Pentium 150MHz + Windows95 + DirectX 8.0a という環境があるのですが、真面目に対応しようとすると一般的な人ではインターネットアクセスを諦めるしか無いでしょうか。DirectX を外したいだけなら OS 再インストールという手もありそうですけど (馬鹿らしい話ですね)、95 に対応した IE ってまだ配布してましたっけ？何にしても、64K 回線だと必要ファイルのダウンロードで地獄を見そうな気もしますが…。
ともあれ、この障害が公開されていながら未だに情報無しに Windows95 用と銘打って 8.0a を配布し続けている [microsoft.com]のはひどい話に思えます。
＃手元に IE5.5 の CD-ROM はあったかな。
- 長文失礼します。 (スコア:1)
  
  by BlueMan (14244) on 2003年07月25日 12時06分 (#365436)
  
  Microsoft のよくある質問と解答より
  http://www.microsoft.com/japan/windows/directx/default.aspx?url=/Japan/Windows/DirectX/productinfo/faq/
  
  Q. DirectX 9.0a はどのオペレーティングシステムをサポートしていますか ?
  
  A. DirectX 9.0a は以下のオペレーティングシステムにインストール可能です :
  
  Windows 98
  Windows 98 Second Edition
  Windows Millennium Edition (Windows Me)
  Windows 2000 Professional and Windows 2000 Server
  Windows XP Home and Windows XP Professional
  
  また、Micorosoft TecNet のページを合わせ読むと
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-030.asp
  Windows95 はサポート外と見受けられます。
  
  DirectX 9 より Windows95 の対応はしないと
  どこかで見たのですが、ポインタは紛失です。
  事の真偽はご自分で確かめられてください。
  
  シェア
  
  親コメント
  - Re:長文失礼します。 (スコア:1)
    
    by passer-by (13494) on 2003年07月25日 12時38分 (#365461) 日記
    
    ありがとうございます。はい、その「よくある質問と解答」ページにしっかりと
    Q. なぜ DirectX 9.0a は Windows 95 にインストールできないのですか ?
    という項目がありますので、そもそもインストール自体に失敗するか、成功したように見えても何らかのトラブルを抱える可能性が高いのではないかと想像しています。ダメモトでやってみるというのも考えられはするんですが、DirectX はアンインストールできないので、ほいほいと試す訳にもいかないんですよね。悩ましいところです…。
    Windows98 は販売終了しちゃってるそうです [srad.jp]が、それより後の Windows はメモリ 32MB なんていう環境ではさすがに苦しいんでしょうね…。
    
    シェア
    
    親コメント
    - Re:長文失礼します。 (スコア:1)
      
      by gacon9580 (9047) on 2003年07月25日 19時42分 (#365669) ホームページ日記
      
      ＞Q. なぜ DirectX 9.0a は Windows 95 にインストールできないのですか ?
      
      その項目のAって
      9.0aを要求するソフトウェアは、95時代のハードウェアではスペックが不充分。
      95で動く程度のソフトウェアなら、以前のバージョンで十分に動く。
      だからインストールする必要はないので、弾いている。
      って内容です。
      
      「トラブルが起こるからインストール出来ないようにしている」
      という文じゃないので、適切にパラメーターを書き換えてやれば
      無理矢理でも突っ込めるんじゃないかな。
      
      以下の文は一応、ダメかもしれないのでネタとして扱って下さい。
      
      ダウンロードできるEXEはファイルを取り寄せるコンポーネント。なので、
      やるとすれば、9x用9.0bコンポーネントの実体をW98当たりでローカル保存して、
      95にインストールできるようにinfを書き換えて
      インストールするのでしょうか？と。
      
      なお、前回のHTMLヘルプのFIXは、二つのファイルをコピーしてそのまま上書きしました。
      chmもちゃんと開けるし、動いています。
      ただ、なんだか前より、フリーズしやすくなった気がしないでもないので、
      本当はパラメータの書き換えも必要だったのかもしれない。
      
      シェア
      
      親コメント
- Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)
  
  by tuneo (2938) on 2003年07月25日 21時02分 (#365718) ホームページ日記
  
  ＞この障害が公開されていながら未だに情報無しに Windows95 用と銘打って 8.0a を配布し続けている [microsoft.com]のはひどい話に思えます。
  「素」のWin95のメディアプレイヤはMIDIの再生にDirectXじゃなくてMCI使ってまして、DirectXと無縁です。だから無問題なのでは？
  
  Win95でもDirectXを使用するバージョンのメディアプレイヤが入っていたら問題アリアリなんですが。
  
  シェア
  
  親コメント
- - Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)
    
    by passer-by (13494) on 2003年07月25日 11時15分 (#365414) 日記
    
    そんな事は指摘されるまでもなくこの記事を読む読者のほとんどには常識でしょう。それを承知で使い続けているシステムへの対応策を模索しているだけで、別にマイクロソフトに Windows95 のサポートを要求しようという訳ではありません。
    「ひどい話」云々というのは、あるシステム (この場合はたまたま Windows95) に永続的な障害を与えるソフト (DirectX8.0a) をそれと知りながら「そのシステム (Windows95) 用」として明示的に提供を続けているという事に関する話です。提供をやめるか、提供を続けつつパッチも供給するかのどちらかが妥当なのではないかと思われるのです。
    
    シェア
    
    親コメント
    - Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)
      
      by BlueMan (14244) on 2003年07月25日 12時25分 (#365452)
      
      いやサブジェクトが・・・
      
      シェア
      
      親コメント
    - Re:これからのWindows95はスタンドアロンで (スコア:1)
      
      by SassyOS2 (8523) on 2003年07月25日 19時37分 (#365661) ホームページ日記
      
      >それを承知で使い続けているシステムへの対応策を模索している
      のであれば、単にWindows95マシンではネットに繋げられないようにすればよいのでは(^^)
      
      ＞「そのシステム (Windows95) 用」として明示的に提供を続けているという
      スタンドアロン環境のWindows95でゲームするなら必要でしょうし。で、どうしてもネットにつながなければいけないというのであれば、Windows98にアップグレードしてパッチをあてるか、OS/2など、その他OSに引っ越しすればよいと思いますが(^^)
      
      シェア
      
      親コメント
    - - Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)
        
        by chanbaba (13080) on 2003年07月27日 3時46分 (#366265) ホームページ
        
        いつもはネットに繋いでいない環境の奴もいるだろうからね。
        俺も無責任とは思わないな。
        
        まぁ、これでwin95をほぼ撲滅できたんだろうな。
        
        シェア
        
        親コメント
窓の杜 Release NEWS (スコア:1)

by k3c (4386) on 2003年07月25日 17時43分 (#365605) ホームページ日記

でも取り上げられていました [impress.co.jp]。「OSとインストールされているDirectXのバージョンの相関表」がすごく分かりやすいです。素晴しい。パチパチ(←拍手の音)

ちなみにワタシの手元のPCはWindows2000 SP4ですが、なぜかDirectXのバージョンは8.1でした…9.0bに上げました(トホホ)が、なぜそんなものが、そしていつの間にインストールされていたのか謎というのが情けないです(恥

DirectXは使ってなかったつもりだったんだけどなあ…。
Web閲覧? (スコア:0)

by Anonymous Coward on 2003年07月24日 15時17分 (#364867)

この「Web閲覧により」ってIEコンポーネントに限るものだとは思うけど?

Mozillaではどうだろう･･･
タメススベガナイ
- リンク注意？ (スコア:2, 参考になる)
  
  by kapaer (9728) on 2003年07月24日 19時50分 (#365036)
  
  上にもありますが、DirectXに穴があるので、MIDIが再生されると問題が起こるんですな。
  とりあえず、BGMの自動再生を切っておけば、見るだけでの問題発生はない・・・
  と思いたいんだけど、そうも行かないようで。
  MIDIファイルは、リンクされてるとクリックするだけで
  (ダイアログボックスなしで)、勝手に再生されてしまいました(XPデフォルト)。
  #さすがに毎回リンク先を見ることはしないし。
  #ファイルの関連付け設定、変えなきゃ駄目かぁ？
  上記のようなMIDIへのリンクをクリックすると、
  (うちでは)MediaPlayerが起動するわけですが、またこいつが問題。
  拡張子が、MediaPlayerに関連付けされている他のもの(aviとかwavとか)
  に変えてあるMIDIファイルでも、ご丁寧に判別して、再生してくれます(XP+WMP9)。
  わざわざ、ネットからのマルチメディアファイルの再生時に、
  ダイアログ出してる人/会社は少ない、と思いますから(MediaPlayerとか入ってないのはあるにしても)、
  有効な対処法は、パッチを当てるしかないような気がします。
  #サウンドカードを切ってしまうのは・・・結局DirectXには渡されるだろうから無意味か。
  
  シェア
  
  親コメント
- Re:Web閲覧? (スコア:1)
  
  by magicME (10732) on 2003年07月24日 15時52分 (#364888)
  
  私はwindows2000を使っていますが
  
  IE以外の（IEコンポーネントを使わない)ブラウザを使用していて(私の場合はOpera)
  OE以外の（IEコンポーネントを使わない)メーラーを使用していて(私の場合はBecky!)
  OEはアンインストールしてしまっている [ebisukenta.jp]
  
  場合は危険性がぐっと減るんじゃないかという認識をもっているんですがこれは正しいんですかねぇ？
  
  WindowsMediaPlayerは6.4を使用してるので7以降によくあるセキュリティーホールは関係ないと思いますし(6.4にもたまにあるので困りますが)
  ルータ経由でまがりなりにもポートは塞いでくれてますし(lan内でほかのPCが感染したら無防備・・・)
  
  windowsを使っていて自衛手段ってのは結局パッチを当てまくるしかないのかなぁ
  それで不都合が起きる可能性が結構あるのがつらいところです
  
  シェア
  
  親コメント
  - Re:Web閲覧? (スコア:1)
    
    by ryoryoryo (5621) on 2003年07月24日 17時39分 (#364960) ホームページ日記
    
    　よくある IE コンポーネントの脆弱性への対策としてはともかく、今回の件は DirectShow が MIDI データを扱う際の問題のようですから、ブラウザやメーラが違うから安心とは言えないでしょう。
    
    　Opera だろうが Mozilla だろうが Web ページに埋め込まれた MIDI データを自動的に再生する設定になっており、なおかつ MIDI 再生に DirectShow を使っていればアウトだと思います。
    　思わぬところで思わぬアプリケーションが MIDI のデコードをしていそうですし、今回の件の影響範囲はかなり広いように思えますので、わたしはさっさと DirectX 9.0b をインストールして対策してしまうつもりです。
    
    シェア
    
    親コメント
    - Re:Web閲覧? (スコア:2, おもしろおかしい)
      
      by G7 (3009) on 2003年07月25日 3時16分 (#365274)
      
      >今回の件は DirectShow が MIDI データを扱う際の問題のようですから、
      
      オフトピだけど、たしか昔Niftyで「必殺MIDIファイル群」とかいうファイルを配布してる人が居たっけ。
      
      これが何か？というと、MIDIファイルプレイヤを使う
      (特に自分でエンジンごと作る：MIDIファイルの演奏処理はそう厄介なものではないです)ときに
      「突拍子もない」データを入力されてもプレイヤが落ちずに演奏できる
      (あるいは「正しく」演奏にならない、あるいは演奏を拒絶する…)
      ことを確かめる…というバグ出し(?)用データ。
      
      たしか、極端な値やおかしいデータを持ったMIDIファイルが100個とかいうオーダーで入っていたような。
      
      ＃自作プレイヤは全然クリアできなかったと記憶してるのでG7
      
      するってーとなんですかね、ああいうデータを食わせたら、
      Windowsも(何年も前から、今回の修正を当てるまで)
      さくっとおかしくなるような状態であり続けた、ということでしょうかね？
      
      うーん。あの「必殺」ファイル群をWindowsに食わせてみた人は、
      居ないんだろうか？と、ふと思ったです。
      
      シェア
      
      親コメント
      - Re:必殺MIDIファイル群 (スコア:1)
        
        by G7 (3009) on 2003年07月26日 15時01分 (#366063)
        
        ごめん。1つ重要(藁)なことを忘れてた。
        
        MIDIとStandardMidiFileは別問題です(^^;
        
        たしかに、MIDIそのものによって落ちるPC環境なんてのが有ったら嫌だな。
        でも有り得ないわけじゃないけどね。
        ケーブルを流れてきたMIDI信号(あるいは規格違反した類似品)を解釈するところでコケる可能性は有る。
        極端な話、特定のControlChange番号の解釈をする実装が(恐らく)抜けてて、
        そのCC番号を送ると必ず落ちる、という音源を何処かで見たような気が(^^;。
        同じ事がPCのMIDI回りのドライバで起きていれば…
        
        閑話休題。SMFの中身には、素のMIDIデータのほかに、
        MIDIデータ間の時間間隔を表現するためのデータとか、
        当然のように(?)データのByte数を表現するデータとか、があちこちに大量に有るので、
        それが狂ってると、ファイルを処理(演奏)する側としても色々困ったことになり得ます。
        
        シェア
        
        親コメント
        
        Re:必殺MIDIファイル群 (スコア:1)
        
        by G7 (3009) on 2003年07月26日 0時52分 (#365847)
        
        >MIDIデータとしておかしいからバッファオーバーフローが起きるんですよ。
        
        ええ。俺もたぶんそうなんだろうなーと思ったので…。
        ＃もちろん、それ「だけ」が理由に成り得る、というわけでもないはずだが。
        
        要するに今までの(そのデータに殺された(笑))MIDIプレイヤも、
        もしかしてバッファオーバーフローを起こしてた、のかも知れないわけです。
        ＃Debuggerで確認してないので知りませんが…
        
        で、たままた(例えば)その計算機がNetworkにもなんにも関係が無いから、
        その「被害」がそのソフトの単なるFreezeとか以外には及ばなかったというだけで。
        
        シェア
        
        親コメント
- Re:Web閲覧? (スコア:0)
  
  by Anonymous Coward
  
  今回の問題はDirectShowでMIDIを扱う際の問題なので、ブラウザ
  がMIDI再生をサポートしていて、再生にDirectShowを使っていれば
  IEでなくても同じ問題が発生すると思われます。
  # 逆にMIDI再生を禁止していれば大丈夫なんじゃないかな
  - Re:Web閲覧? (スコア:0)
    
    by Anonymous Coward
    
    ブラウザーで再生しなくても
    メールやftp専用ソフトやファイル共有などで入手したMIDIを
    MIDI再生専用ソフトで再生する場合も危険性がありますね
    
    IEコンポーネントを使うかどうかではなくDirectShowを使うかどうか
MIDI (スコア:0)

by Anonymous Coward on 2003年07月24日 15時33分 (#364881)

隣のブースでミュージシャンが使ってるマスターキーボードからクラックされたらやだなぁ
# 純粋な MIDI パケットまわりではなくて SMF まわりのバグだと思うけど。
- Re:MIDI (スコア:0)
  
  by Anonymous Coward
  
  あやし～ヘッドギアをつけたパンク風の格好をしたおっさんが、鍵盤の前で奇妙な音楽を奏でている。
  「けっけっけ。これで政府は全部なくなるぜ。世界はアナーキーになるのだ」
  実は彼は、合衆国政府転覆を企んでクラッキングをしているのだった！
  
  …なんてアレゲな光景を想像しちまったぜっ
- Re:MSKKからのお手紙 (スコア:1)
  
  by k3c (4386) on 2003年07月25日 18時18分 (#365622) ホームページ日記
  
  > 電話もしくはインターネットが利用できない方のお問い合わせ
  → 「インターネットが利用できない方などの電話お問い合わせ」
  
  と言いたいんじゃないですかね。
  
  それだけではなんなので…
  緊急レベルのセキュリティ修正プログラムについて [microsoft.com]というWebページができていました。…要は「Windows Updateしてね」という内容ですが…(わら
  
  こんな役に立たないページを書いている時間があるなら、「重要な更新」が出るたびにWindows Updateがやたらと反応悪くなるのをなんとかして欲しい。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

DirectXにバッファオーバーラン脆弱性、WebとHTMLメールで発動 More ログイン

プログラマーは要注意 (スコア:3, 参考になる)

Re:プログラマーは要注意 (スコア:2, 参考になる)

Re:プログラマーは要注意 (スコア:1)

Re:プログラマーは要注意 (スコア:1)

DirectX以外にもあるみたいです (スコア:2, 参考になる)

さ～て、来週のhotfixさんは～～～? (スコア:2, おもしろおかしい)

Re:さ～て、来週のhotfixさんは～～～? (スコア:1, おもしろおかしい)

Re:さ～て、来週のhotfixさんは～～～? (スコア:1)

Re:さ～て、来週のhotfixさんは～～～? (スコア:0)

最高級脆弱性 (スコア:2, 参考になる)

Re:最高級脆弱性 (スコア:2, 興味深い)

Re:最高級脆弱性 (スコア:1)

大多数の普通の人にとっての一大事業。 (スコア:2, 興味深い)

Re:大多数の普通の人にとっての一大事業。 (スコア:1)

Re:大多数の普通の人にとっての一大事業。 (スコア:1)

Re:大多数の普通の人にとっての一大事業。 (スコア:1)

泣いてます (スコア:1)

Re:泣いてます (スコア:1, 興味深い)

差分でも (スコア:1, 参考になる)

Re:普通のWindowsユーザではないわな。 (スコア:1)

Re:普通のWindowsユーザではないわな。 (スコア:1)

Windows 2003 Serverは… (スコア:1)

Re:Windows 2003 Serverは… (スコア:1)

Re:Windows 2003 Serverは… (スコア:1)

Re:Windows 2003 Serverは… (スコア:1)

Win2000SP4だと安心？ (スコア:1)

安心じゃない (スコア:1, 参考になる)

Re:Win2000SP4だと安心？ (スコア:1)

Windows95 ユーザはどうすればいいでしょう (スコア:1)

長文失礼します。 (スコア:1)

Re:長文失礼します。 (スコア:1)

Re:長文失礼します。 (スコア:1)

Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)

Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)

Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)

Re:これからのWindows95はスタンドアロンで (スコア:1)

Re:Windows95 ユーザはどうすればいいでしょう (スコア:1)

窓の杜 Release NEWS (スコア:1)

Web閲覧? (スコア:0)

リンク注意？ (スコア:2, 参考になる)

Re:Web閲覧? (スコア:1)

Re:Web閲覧? (スコア:1)

Re:Web閲覧? (スコア:2, おもしろおかしい)

Re:必殺MIDIファイル群 (スコア:1)

Re:必殺MIDIファイル群 (スコア:1)

Re:Web閲覧? (スコア:0)

Re:Web閲覧? (スコア:0)

MIDI (スコア:0)

Re:MIDI (スコア:0)

Re:MSKKからのお手紙 (スコア:1)