WindowsのASN.1ライブラリに致命的な欠陥、影響は特大 109
ストーリー by Oliver
休日ぱっちんぐ 部門より
休日ぱっちんぐ 部門より
j3259曰く、"Microsoft、 本家、AP、BBC などによると、Windows 2000/XP/2003 の致命的な脆弱性が発表された。Microsoft社はこの欠陥の修正に六ヶ月かけている。この欠陥はASN.1ライブラリに影響し、ケルベロスやNTLMなどの認証サブシステムからリモートでエクスプロイトできるもの。また、SSLを使うアプリケーションにも影響を及ぼす。Windows のあらゆる所で使われている技術なだけに、Microsoftおよびその他のメディアは早急にパッチを当てることを呼びかけている。技術的な詳細はeEyeとMicrosoftのSecurity Bulletinが詳しい。"
MIYU曰く、"このセキュリティーホールについての報告があったのは6か月以上前だそうですが、影響が大きい為パッチが出来上がるまで発表しないという事になっていたようです。"
セキュリティーホールを発見した会社のレポート等 (スコア:3, 参考になる)
Advisory:
Microsoft ASN.1 Library Length Overflow Heap Corruption [eeye.com]
Date Reported:July 25, 2003
Remote Code Execution
Microsoft ASN.1 Library Bit String Heap Corruption [eeye.com]
Date Reported:September 25, 2003
Remote Code Execution
Microsoft による詳報
Windowes XP用セキュリティ問題の修正プログラム(KB828028)
ASN.1 Vulnerability Could Allow Code Execution [microsoft.com]
参考:WiredNews
Microsoft: Oops! We Did It Again [wired.com]
:nikkei IT News
ウィンドウズに欠陥、早急な修正呼び掛け
[nikkei.co.jp]
ごめんなさい 日本語版です (スコア:1)
ASN .1 の脆弱性により、コードが実行される (828028) (MS04-007) [microsoft.com]
[XGEN] ASN.1 および BER の簡単な紹介 [microsoft.com]
絵でみるセキュリティ情報 MS04-007 : Windows の重要な更新 [microsoft.com]
日経 ITPro
Windowsにとても危険なセキュリティ・ホール,仕事前にまずは対策を [nikkeibp.co.jp]
警察庁 @police
Windowsの脆弱性について(MS04-007)(2/11) [cyberpolice.go.jp]
# 対策作業中の皆様 ご苦労様です
どさくさに紛れて (スコア:3, 参考になる)
これって前に言ってた卍(まんじ)?
Re:どさくさに紛れて (スコア:2, 参考になる)
同時に、お寺の地図記号(0x86)も削除されていたけど。こっちは残していてもよかったんじゃないかなあ。
Re:どさくさに紛れて (スコア:1)
僕は「重要な更新」に入っていることの方が気になります。
# …ってたれ込んだのだけれど、まだ採用されてない…
-- garmy
Re:どさくさに紛れて (スコア:1)
結果、「カギ十字」「卍」「六芒星」の3つは、少なくとも
消えていることは確認できました。
#「鳥居」は残ってた(笑)
#ところで、これって Bookshelf 入れている人限定なんでしょうか?
Re:どさくさに紛れて (スコア:2, 参考になる)
いわく、
Re:どさくさに紛れて (スコア:1)
手元のBookshelf入りPCでは出てきて、Windows2000入れた直後の
BookshelfどころかOfficeも入っていないPCでは出てこなかったので。
-- garmy
バカヤローと叫びたい! (スコア:3, 興味深い)
って、マジ?ASN.1のライブラリにバッフォードオーバフロー?
この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして
『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』
ってコトですか?
って、ホントにそう?私の解釈が間違っている?というか是非間違っていてほしいのですが。
だってもしそうなら、
それって、ファイアーウォールが役立たないってことだし、ウイルス対策ソフトだって、そうすぐには対応できるとは思えないってことでしょ。だって、リアルタイムでDERデコードしなきゃならなくて、しかも、そのデコードにはMS製のライブラリは使えないわけだから。
ってことは、ファイアーフォールの内側の社内LANに繋がっている全Windows端末にパッチあてなきゃならないってこと?この期末の忙しいときに?
こ、これは、さすがに「バカヤロー」と叫びたい。叫ばずにはいられない…。
Re:バカヤローと叫びたい! (スコア:2, おもしろおかしい)
Secure MINE?!(セキュアな地雷)
# 笑ってください、疲れてるんです。。。。
Re:バカヤローと叫びたい! (スコア:1)
自己署名な証明書だったら警告が出る。怪しいページが https だったら疑ってかかればいいことだよね。ちゃんとしたところのCAが署名したサーバ証明書が悪用されることはない、と思う。
> S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。受信したら自動で署名の検証をするようなツールがあるなら、可能性はある。
暗号化されてるメールは…微妙だなあ。
ファイアウォールで防げるとか、添付ファイルを開かなくていい、なんていう今までの防御法じゃダメという点は、企業の担当者にとっては頭がいたいことかもしれない。
Re:バカヤローと叫びたい! (スコア:2, 興味深い)
もっともSSLなサイトの方はアヤシイとこに近づかなきゃ、とりあえず、避けられそうですが、
S/MIMEの署名メールを送りつけられたら、開いた時点で、アウトでしょうね。S/MINEが実装されている MUA というと「有名」なOutlook Express がありますが、こいつが開く時点で解析しているのか、一覧する時点である程度解析しちゃっているのか、今のところわかりませんが、なにしろ、その道で「有名」なんで、どうでしょうねぇ。
日本語版リソース (スコア:1)
まだITmedia, PC Watch(impress), MYCOM PCWEBには記事はないようです。
-- garmy
Re:日本語版リソース (スコア:4, 参考になる)
ASN.1 バイナリ変換規則 [geocities.co.jp]
Re:日本語版リソース (スコア:1)
Re:日本語版リソース (スコア:1, 興味深い)
ウィンドウズに「深刻な欠陥」 修正ソフトを配布 [asahi.com]
こういうのが一般向けのニュースになるご時世なのか... (しみじみ)Re:日本語版リソース (スコア:2, 興味深い)
#「科学」より「経済」に影響を与える、という評価の変更かもしれないけれど。
Re:日本語版リソース (スコア:2, 参考になる)
asahi.com は各部から届いた記事をhtml化して載せているだけですし。
#関係者なのでAC
Re:日本語版リソース (スコア:1)
ありがたいですよ、本当に。
Super Souya
Re:日本語版リソース (スコア:1)
Vodafoneのステーション(プッシュ型のコンテンツ配信サービス)で
送られてくるニュースでチェック出来るのでありがたいです。
Re:日本語版リソース (スコア:2, 興味深い)
・MacOS -- 脆弱性について情報は入ってくるけど知らせる価値はあまりなし
・Linux -- 名前は知ってる。だけどなんだかよくわからないのでスルー
・FreeBSD -- MacOSの基本ソフトの基本ソフト? とか解釈して混乱してる
・NetBSD -- しらん。なにそれ?
・OpenBSD -- MacOSがオープンソースで出てるって聞いたけど、多分それだろう(違います)
・PalmOS -- 小さいwindowsでしょ(CEと間違えてる)
こんな感じでしょうかね。
BSD系列がやけに細かくて、Linuxをひとまとめにしてるのは、
私がLinux方面をよくしらないからで他意はありません :)
かいかぶり過ぎ(フレームのもと) (スコア:1, すばらしい洞察)
聞いたことも無い(あったとしても覚えてない)人が大多数だと思います
Re:かいかぶり過ぎ(フレームのもと) (スコア:2)
>聞いたことも無い(あったとしても覚えてない)人が大多数だと思います
はい。私もそう思います。
脆弱性が見つかったとして報道するに足るものは何かだったはずでした。
しかし、途中から名前を挙げてどういう反応を示すか、
ということに内容が変質してしまいました。すみません。
Re:__hageさんにリクエスト (スコア:1)
思い至らなかったので書かなかったのです。
なのに、むごい :)
TRONにしても少なくともITRONとBTRONの区別くらいは必要じゃないかなと。
いや一般の人は区別があること自体しらんか。
他にも思いついて書かなかったものを列挙すると、
BeOS, Amoeba, Unix派生物(AIXとかHP-UXとか), MINIX, NetWare,
ProDOS, OS/400, OS/2, VMS, MVS, TOPS-[12]0, Multics,
OS-9, OS-9000, CP/M, MIKBUG(これはOSじゃねえな), Inferno, NEXTSTEP,
Human68k, TOWNS-OS, MSX-DOS, MS-DOS, PC-DOS, Σ
などなど。他にもあるんでしょうけどがんばって列挙してこんなもんです。
現行のものではないとか、研究モノとか、
考えるのが面倒になったとか様々な理由で割愛しました。
下のほうにVxWorksを挙げていらっしゃる方がいますけど、
これは完璧に存在を忘れてました。
あとMachはそれ自体ではOSたりえないと思いますが、
それは間違った理解でしょうか?
ITmedia にも記事出ました。 (スコア:1)
「Virtual PC for Mac」の脆弱性なんかは,買収しなきゃ
自分トコの仕事にせずに済んだろうにとか思ったりして(笑)
期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
やはり脆弱性情報は対象企業・団体と調整の上で公開すべきでは?
今回を例にすれば少なくともMicrosoftは脆弱性の修正を行って
いるので怠慢とは思えないですし。
コンポーネントの場所によって判断は変わるという指摘も
全くその通りとは思いますが。
Re:期限つきFull Disclosureは危険なのか? (スコア:2, 興味深い)
期限は、対策までの期限でもあるけど、
返事をもらうまでの期限でもありますよね。
「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
という返事がくれば、第1段階はクリアですよね。
Re:期限つきFull Disclosureは危険なのか? (スコア:3, すばらしい洞察)
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的なルールとして設定できないのではないかと思います.
ただ, ここで重要だと思うのは問題の対処がcloseされた段階で, それぞれの段階に実績としてどれだけの時間がかかったかということを公開することを義務づけることでしょう. それによってユーザは製品およびサポート組織の品質・信頼性を定量的に判断できるようになるわけですから.
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
きちんとした説明ができているQが如何に多くないか、という現実を
無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
返答したくても「その報告で何をしろ?と」と思う報告は
多いんじゃないかな?と思いますし。
#下手に問い直すと切れる報告者もいるからなぁ。立場が変わっても
#所詮は人間の度量次第ということでしょうが。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
事前にわかってれば助かるというのは十分理解できますが。
>無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
報告者はそれに協力してるだけですよ。
別に問題点を報告する義務なんてないのに。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
> と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
> 報告者はそれに協力してるだけですよ。
> 別に問題点を報告する義務なんてないのに。
対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
実質的に「このOSのどこかに脆弱性がある」と言っているのと変わらない情報しかなかったとすれば、期限を切られても対応できないでしょう。
あれ、そんな情報、discloseされても誰も困らないか。
Re:期限つきFull Disclosureは危険なのか? (スコア:1, すばらしい洞察)
往々にしてあるのですよね。それを発見者側が分かってくれないと
問題だとは思う。プログラム作る側としてはデバッグ経験が無い
発見者は認めたくないという気持ちになるのはそんな時。
「そんなに言うならここに来てデバッグしてみやがれ!」と。
#一見簡単そうに見えても根が深いというのは往々にしてあるし。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
見つけてくれたのはありがたいと思います。
伝え方が頭に来ることはありますけど・・・(^^;
投げ深い問題を相手に理解できるように
説明するのは頭が痛いですが・・・
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
セキュリティホールを指摘された各社は、
被害が現実に発生するまでパッチを出さなくなる
(場合によっては、被害がでるまで開発しなくなる)
という可能性は十分に考えれられる問題であるかと。
もしかして (スコア:1, おもしろおかしい)
#たまにはACで
Re:もしかして (スコア:1)
また不定期になりそうな予感。
1を聞いて0を知れ!
半年前ってことは (スコア:1, 参考になる)
http://www.symantec.com/region/jp/sarcj/security/content/8732.html
実は同じ事だったのか・・・?ちっとだけガクガクぶるぶる。
ま~クラックされても困るような使い方してないが・・・
よそ様にDDoSかけてたら上流が気づいてくれるだろうし(ぉぃ
Re:M$は十分立派なポリシーだと思ってるんだろうか? (スコア:1)
今日 Windows Update に出てきているのはこれに対するパッチにしか見えないのだけど、十分ではないのですか?
お詫びと訂正 (スコア:1)
Re:これかなぁ? (スコア:3, 参考になる)
Re:これかなぁ? (スコア:2, おもしろおかしい)
1を聞いて0を知れ!
Re:これかなぁ? (スコア:1)
それって問題を先送りしてるだけじゃ...
# それとも半年→一年→一年半... と修正まで伸びていくのかしら
Re:これかなぁ? (スコア:1, 興味深い)
バグとして整理するのに、MS~という番号を使うのもいい。KB(Knowlages Base?)の番号を使って、通年で整理するのも良い。
しかし、いざWindwos Updateをしようとすると、KBの番号しか書いてなくて、MS~で知らされたほうとしては、いちいち別の資料をあたって確認しなければ、いったいなんのパッチを落とすのかわからない。
いつも、困っています。
Re:元ACですが (スコア:2)
言われて眺めてみると、いわゆる大手メディア(新聞社とか)にはMS04-007という記号は登場しませんね。まあ、新聞が伝えるほどの脆弱性でしたら間違いなくここで話題になっているでしょうから、ここから情報を得ることもできるのではないでしょうか。
ちなみに私の場合はセキュリティ警告サービス [microsoft.com]でもって脆弱性の発生を知って、PC立ち上げてみると自動更新でパッチが落ちてくる、という感じです。
Re:人間止めますか、Windows 止めますか (スコア:1)
Windowsやめる(コンピュータを使わない)って言うのは 十分効果的な対応策の一つだと思うけど
最近思うのは、コンピュータに依存した仕事(業務)が多すぎやしないかということ。
もう少し人手をかけて仕事をしようよっていつも思う。
コンピュータなんて道具だろ。
道具の一つが調子悪いからって仕事が出来ませ~んなんて、プロじゃないよな。
道具の調子を維持している時間が長いというのもシャレにならん
Re:人間止めますか、Windows 止めますか (スコア:1)
「Windowsじゃなきゃダメ」という思い込みを捨てて、会社とか学校とかの組織ぐるみで移行するんだったら、選択子は他にもありますよね。でも、その「選択子」に人気が出て、シェアの多くを占めるようになるなら同じことだけど ;_;)。
Re:人間止めますか、Windows 止めますか (スコア:1)
Re:人間止めますか、Windows 止めますか (スコア:1)
仕事によります。(キッパリ)
まぁ「いたずらにコンピュータに振り回されるのは馬鹿馬鹿しい」という論点なら同意しますが。
Re:人間止めますか、Windows 止めますか (スコア:2, おもしろおかしい)
人の命は地球よりも重い。しかしWindowsの動作はもっと重い(重いの意味がチガウ
And now for something completely different...
Re:Netscape? (スコア:2, 参考になる)
これを使えばimport library経由でリンクされるDLLだけでなく、実行時にLoadLibrary()でロードされるDLLも調べることが出来ます。