パスワードを忘れた? アカウント作成
7499 story

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大 109

ストーリー by Oliver
休日ぱっちんぐ 部門より

j3259曰く、"Microsoft本家APBBC などによると、Windows 2000/XP/2003 の致命的な脆弱性が発表された。Microsoft社はこの欠陥の修正に六ヶ月かけている。この欠陥はASN.1ライブラリに影響し、ケルベロスやNTLMなどの認証サブシステムからリモートでエクスプロイトできるもの。また、SSLを使うアプリケーションにも影響を及ぼす。Windows のあらゆる所で使われている技術なだけに、Microsoftおよびその他のメディアは早急にパッチを当てることを呼びかけている。技術的な詳細はeEyeとMicrosoftのSecurity Bulletinが詳しい。"

MIYU曰く、"このセキュリティーホールについての報告があったのは6か月以上前だそうですが、影響が大きい為パッチが出来上がるまで発表しないという事になっていたようです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 発見した会社:eEye Digital Security [eeye.com]

    Advisory:
    Microsoft ASN.1 Library Length Overflow Heap Corruption [eeye.com]
    Date Reported:July 25, 2003
    Remote Code Execution

    Microsoft ASN.1 Library Bit String Heap Corruption [eeye.com]
    Date Reported:September 25, 2003
    Remote Code Execution

    Microsoft による詳報
    Windowes XP用セキュリティ問題の修正プログラム(KB828028)
    ASN.1 Vulnerability Could Allow Code Execution [microsoft.com]

    参考:WiredNews
    Microsoft: Oops! We Did It Again [wired.com]
      :nikkei IT News
    ウィンドウズに欠陥、早急な修正呼び掛け

    [nikkei.co.jp]
  • by Anonymous Coward on 2004年02月11日 21時29分 (#493781)
    フォントの修正をさせようという魂胆でしょうか。
    これって前に言ってた卍(まんじ)?
    Windows 用の重要な更新 (KB833407)
    ダウンロード サイズ: 310 KB, < 1 分
    この更新によって、一部の Microsoft 製品に含まれる Bookshelf Symbol 7 フォントが修正されます。このフォントには、不適切な記号が含まれていました。インストール後には、コンピュータの再起動が必要になる場合があります。
    • by Yggdra (14017) on 2004年02月11日 21時58分 (#493800)
      うちにもこれが出て、その場で Bookshelf Symbol 7 を確認してみたけど、確かに卍の逆向きで45度傾斜というまさにナチスの鉤十時があった。これが削除された模様。(0x7E だったかな)

      同時に、お寺の地図記号(0x86)も削除されていたけど。こっちは残していてもよかったんじゃないかなあ。
      親コメント
    • カギ十字ですね、正確に言うと。

      僕は「重要な更新」に入っていることの方が気になります。

      # …ってたれ込んだのだけれど、まだ採用されてない…
      --
      -- garmy
      親コメント
    • 試してみました。
      結果、「カギ十字」「卍」「六芒星」の3つは、少なくとも
      消えていることは確認できました。
      #「鳥居」は残ってた(笑)

      #ところで、これって Bookshelf 入れている人限定なんでしょうか?
      親コメント
      • by Yggdra (14017) on 2004年02月12日 9時21分 (#494022)
        Microsoft の Web に搭載製品 [microsoft.com]が書いてある。
        いわく、
        • Microsoft Office 2003, All Editions

        • Microsoft Office XP (Microsoft Bookshelf Basic 3.0 を同梱している製品)

        • Microsoft Word 2002

        • Microsoft Encarta 総合大百科 2004

        • Microsoft Encarta 総合大百科 2003

        • Microsoft Encarta 総合大百科 2002

        • Microsoft Bookshelf 3.0

        • Microsoft Bookshelf Basic Version 3.0
        とのこと。
        親コメント
      • だとおもいます。
        手元のBookshelf入りPCでは出てきて、Windows2000入れた直後の
        BookshelfどころかOfficeも入っていないPCでは出てこなかったので。
        --
        -- garmy
        親コメント
  • by Anonymous Coward on 2004年02月11日 21時57分 (#493799)
    え?なに?私はサッカー見てたんですよ。休日ですよ?なんで今頃こんなこと調べなきゃならないの?

    って、マジ?ASN.1のライブラリにバッフォードオーバフロー?

    この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして

    『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』

    ってコトですか?
    って、ホントにそう?私の解釈が間違っている?というか是非間違っていてほしいのですが。

    だってもしそうなら、

    • SSLなページを開いた瞬間にハードディスクが初期化されたり
    • S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
    できちゃうってこと?

    それって、ファイアーウォールが役立たないってことだし、ウイルス対策ソフトだって、そうすぐには対応できるとは思えないってことでしょ。だって、リアルタイムでDERデコードしなきゃならなくて、しかも、そのデコードにはMS製のライブラリは使えないわけだから。

    ってことは、ファイアーフォールの内側の社内LANに繋がっている全Windows端末にパッチあてなきゃならないってこと?この期末の忙しいときに?

    こ、これは、さすがに「バカヤロー」と叫びたい。叫ばずにはいられない…。

    • by HSA07 (17278) on 2004年02月12日 12時44分 (#494134)
      >S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり

      Secure MINE?!(セキュアな地雷)

      # 笑ってください、疲れてるんです。。。。
      親コメント
    • > SSLなページを開いた瞬間にハードディスクが初期化されたり
      自己署名な証明書だったら警告が出る。怪しいページが https だったら疑ってかかればいいことだよね。ちゃんとしたところのCAが署名したサーバ証明書が悪用されることはない、と思う。

      > S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
      MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。受信したら自動で署名の検証をするようなツールがあるなら、可能性はある。
      暗号化されてるメールは…微妙だなあ。

      ファイアウォールで防げるとか、添付ファイルを開かなくていい、なんていう今までの防御法じゃダメという点は、企業の担当者にとっては頭がいたいことかもしれない。
      親コメント
      • by Anonymous Coward on 2004年02月11日 23時23分 (#493837)
        > SSLなページを開いた瞬間にハードディスクが初期化されたり
        自己署名な証明書だったら警告が出る。
        あの…、「警告がでる」ってコトは、すでにDERデコードしちゃってますが:-)

        もっともSSLなサイトの方はアヤシイとこに近づかなきゃ、とりあえず、避けられそうですが、

        > S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
        MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。
        S/MIMEの署名メールを送りつけられたら、開いた時点で、アウトでしょうね。

        S/MINEが実装されている MUA というと「有名」なOutlook Express がありますが、こいつが開く時点で解析しているのか、一覧する時点である程度解析しちゃっているのか、今のところわかりませんが、なにしろ、その道で「有名」なんで、どうでしょうねぇ。

        親コメント
  • bulletin日本語版 [microsoft.com]

    まだITmedia, PC Watch(impress), MYCOM PCWEBには記事はないようです。
    --
    -- garmy
    • by Anonymous Coward on 2004年02月11日 22時16分 (#493806)
      ASN.1 関連のサイトが、日本語である程度、詳細を書いてくれてました。

      ASN.1 バイナリ変換規則 [geocities.co.jp]
      親コメント
    • by pimagawa (14223) on 2004年02月11日 17時39分 (#493673)
      ITpro [nikkeibp.co.jp]にものってます。
      親コメント
    • by oku (4610) on 2004年02月11日 18時05分 (#493688) 日記
      asahi.com にも出てしまいました。

      ウィンドウズに「深刻な欠陥」 修正ソフトを配布 [asahi.com]

      こういうのが一般向けのニュースになるご時世なのか... (しみじみ)
      親コメント
      • by geln12 (18637) on 2004年02月11日 21時44分 (#493792) 日記
        asahi.comの扱い方ですけれど、以前は「科学」のセクションに入れたり(去年の11月の月刊Windowsのとき。記事は消えていた)、今回は「経済」に入れたり、「どの部署の担当か」というのは安定していないみたいですね。

        #「科学」より「経済」に影響を与える、という評価の変更かもしれないけれど。
        親コメント
        • by Anonymous Coward on 2004年02月12日 0時13分 (#493864)
          単に記事を書いた記者が経済部か科学部か、の違いです。
          asahi.com は各部から届いた記事をhtml化して載せているだけですし。

          #関係者なのでAC
          親コメント
      • 各新聞のWebサイト、最近対応が早いですね。
        ありがたいですよ、本当に。
        --
        Super Souya
        親コメント
      • by catp (10291) on 2004年02月11日 22時36分 (#493813)
        朝日はBlasterの騒動以降、パッチがリリースされる度に報道してくれていますね。

        Vodafoneのステーション(プッシュ型のコンテンツ配信サービス)で
        送られてくるニュースでチェック出来るのでありがたいです。
        親コメント
    • MS、「緊急」含む2月の月例パッチを公開、Virtual PC for Macにも脆弱性 [itmedia.co.jp]

      「Virtual PC for Mac」の脆弱性なんかは,買収しなきゃ
      自分トコの仕事にせずに済んだろうにとか思ったりして(笑)
      親コメント
  • by Anonymous Coward on 2004年02月11日 18時37分 (#493709)
    今回のような脆弱性の発見報告からpatchの公開まで半年かかると
    いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
    告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
    やはり脆弱性情報は対象企業・団体と調整の上で公開すべきでは?

    今回を例にすれば少なくともMicrosoftは脆弱性の修正を行って
    いるので怠慢とは思えないですし。
    コンポーネントの場所によって判断は変わるという指摘も
    全くその通りとは思いますが。
    • by jtakano (13491) on 2004年02月11日 19時17分 (#493725)
      同意です。
      期限は、対策までの期限でもあるけど、
      返事をもらうまでの期限でもありますよね。
      「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
      という返事がくれば、第1段階はクリアですよね。

      親コメント
      • by SteppingWind (2654) on 2004年02月11日 21時00分 (#493774)

        期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから

          現象の確認および原因を確定する段階

          修正点(それによる副作用を含む), あるいは回避方法を確定する段階

          修正を行う場合に修正版が公開される段階

        のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的なルールとして設定できないのではないかと思います.

        ただ, ここで重要だと思うのは問題の対処がcloseされた段階で, それぞれの段階に実績としてどれだけの時間がかかったかということを公開することを義務づけることでしょう. それによってユーザは製品およびサポート組織の品質・信頼性を定量的に判断できるようになるわけですから.

        親コメント
        • by Anonymous Coward on 2004年02月11日 22時56分 (#493824)
          それを義務付けるなら質問者側にも義務付けたい。
          5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
          Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
          きちんとした説明ができているQが如何に多くないか、という現実を
          無視してサイト側だけの義務を重くするのはバランスが悪いと思う。

          返答したくても「その報告で何をしろ?と」と思う報告は
          多いんじゃないかな?と思いますし。

          #下手に問い直すと切れる報告者もいるからなぁ。立場が変わっても
          #所詮は人間の度量次第ということでしょうが。
          親コメント
          • 「義務づける」って、それで給料を貰ってる訳でもない善意の報告者にですか?

            5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
            事前にわかってれば助かるというのは十分理解できますが。

            >無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
            と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
            報告者はそれに協力してるだけですよ。
            別に問題点を報告する義務なんてないのに。
            親コメント
            • >> 無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
              > と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
              > 報告者はそれに協力してるだけですよ。
              > 別に問題点を報告する義務なんてないのに。

              対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
              実質的に「このOSのどこかに脆弱性がある」と言っているのと変わらない情報しかなかったとすれば、期限を切られても対応できないでしょう。

              あれ、そんな情報、discloseされても誰も困らないか。
              親コメント
      • by Anonymous Coward on 2004年02月11日 20時07分 (#493751)
        ただ、プロダクトがでかくなると確認自体、難しくなる場合が
        往々にしてあるのですよね。それを発見者側が分かってくれないと
        問題だとは思う。プログラム作る側としてはデバッグ経験が無い
        発見者は認めたくないという気持ちになるのはそんな時。

        「そんなに言うならここに来てデバッグしてみやがれ!」と。

        #一見簡単そうに見えても根が深いというのは往々にしてあるし。
        親コメント
    • by Anonymous Coward on 2004年02月11日 19時02分 (#493717)
      仮に「期限付き」がなくなった場合、
      セキュリティホールを指摘された各社は、
      被害が現実に発生するまでパッチを出さなくなる
      (場合によっては、被害がでるまで開発しなくなる)
      という可能性は十分に考えれられる問題であるかと。
      親コメント
  • もしかして (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年02月11日 19時04分 (#493719)
    月間Windowsのリリースペースが一定じゃなかったのはこの修正をしていたから?

    #たまにはACで
  • by Anonymous Coward on 2004年02月11日 21時14分 (#493778)
    半年前OpenSSLのASNのセキュリティホールが見つかりましたよね。たしか
    http://www.symantec.com/region/jp/sarcj/security/content/8732.html
    実は同じ事だったのか・・・?ちっとだけガクガクぶるぶる。
    ま~クラックされても困るような使い方してないが・・・
    よそ様にDDoSかけてたら上流が気づいてくれるだろうし(ぉぃ
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...