パスワードを忘れた? アカウント作成
7543 story

流出したソースコードからIE 5の脆弱性が発覚 81

ストーリー by Oliver
BUGBUG 部門より

MIYU曰く、"米SecurityTracker社 先日WEBに流出したWindowsのソースコードから、Internet Explorer 5に存在している「リモートから任意のコードが実行できる脆弱性」が発見された事を報告していると INTERNET Watchが伝えています。
これは、ビットマップファイルに仕掛けをしてInteger Overflowを起こすものですが、原因になっているのはWindows 2000の「win2k/private/inet/mshtml/src/site/download/imgbmp.cxx」だという事です。現在マイクロソフト社のサイトでは対応がされていない様ですが、この脆弱性はInternet Explorer 6には影響しないそうです。(SecurityTracker社の報告書)
危惧されていたとおり、流出したソースから脆弱性が発見されたわけですが、ウイルスの登場という形でなく、セキュリティー会社からの発表という形だった事は不幸中の幸いでしょうか。記事ではIE5のユーザーに対して、IE6もしくは他のブラウザへの乗り換えを勧めています。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by alp (1425) on 2004年02月17日 18時21分 (#497539) ホームページ 日記
    えっと、毎度おなじみ Full-disclosure ML ですよね。報告者は、gta@hush.com さんですよね。なんでこれがセキュリティ会社の報告って事になるんでしょう? もとの Internet Watch から誤っていますが、たれ込む前にちょっと見て欲しいものです。
    • by Anonymous Coward on 2004年02月17日 20時11分 (#497622)

      Full-disclosure ML。
      報告者は、gta@hush.com

      大変申し訳無い事をいたしました。
      Watchの記事自体が誤りであるというご指摘ですね。

      見つかった脆弱性の性質には誤りは無いのでしょうか ?

      毎度おなじみという事のようですが、
      私の様な素人にもわかる様にそれがどういう性質のMLか、
      いつそれが公開された物なのか等詳細を記載していただけると
      大変有り難いのですが、…… お願い出来ませんでしょうか?

         # 以後このようなミスをしない為にも是非お願いします
              ミスをした当人(MIYU)です
          
      親コメント
      • by alp (1425) on 2004年02月17日 23時56分 (#497754) ホームページ 日記
        私はくだんのコード実際に見た訳じゃないので、推定ですが

        コードが書かれているとおりなら、脆弱性の内容に誤りはないです。また、問題の投稿は、Full-disclosure ML に、SecurityTracker 社の記事にあるように、2/14 に行われたものです 。ここまで書くと探すには困らないかと。なお、実際の投稿には Subject はありますが、PC 的にアレな代物なので SecurityTracker 側でカットされています。

        で、このメーリングリストですが、セキュリティ関係の欠陥を議論する普通のメーリングリストです。月三千通ベースなので、やや小規模でしょうか。ただし、このテーマのメーリングリストは多くないのと、題名の通り情報は隠さず開示して議論 (欠陥の内容、回避など) を行うことを標榜しているため、穴指摘はあります。穴の技術的な詳細が、パッチが出た事後にでも開示される場って少ないので (特にこの関係の話は新規の種類の欠陥、ってのが少なくない)、貴重な場の一つではあります。

        親コメント
  • by rainforest (4616) on 2004年02月17日 17時46分 (#497493) 日記
    そもそも、ソースの流出が無ければ発見され得なかった、あるいは
    発見される確率が非常に低かったものなのでしょうか?
    それとも、遅かれ早かれ発見されたはずのものだったのでしょうか?

    この問題は、ソースの秘匿性の是非に関する主要な論点の一つ
    だと思うのですが、今回の件はその事に対する例証の一つになる
    のではないでしょうか。

    # たとえば見せるなら最初から見せ、隠すなら徹底的に隠すべしとか。
    • by Spatz (19753) on 2004年02月17日 18時00分 (#497516) ホームページ 日記
      ソースがあるのと無いのとでは、不具合を探す手間もだいぶと違うと思います。
      ただ、「ソースが無い」状態は「ソースがある」状態よりも遥かに「数」が
      多いので「見当がつきやすい物は見つけやすい」とも言えるでしょうし。
      //シェア(ユーザー数)が少なければ当然見つかる確率も下がる…:P。

      ソースがあり、それを眺める時間と理解する能力があり、更に頭の中で組み立てる
      事ができる人なら、実行環境のみの状態よりも遥かに多くの「ミス」を見つけられる
      事は望めると思うのです。

      書いた本人が気がつけば良いのですけど、詰まらないミスをしてランタイムエラーを
      だして「うぎゅぅ…」状態になって探すって言うのもありですから、「書いてる時に
      は解らないしビルドした時だって解らない(だからランタイムエラー)」そして
      おまけに「滅多にそう言った条件に遭遇しない」ならそれは潜在的なバグとして
      日の目を見ないで終わるかもしれません。

      MSの考え(MSだけとは言いませんけど)はこの「日の目を見なけりゃ解らない」
      派で、オープンソースは「とにかく見つけて潰せ」と言った積極的な姿勢だと思う
      のですけど。

      どちらが良いかはあたしには解りませんけど、言える事は「MSはオープンソース
      をけなしてる(?)暇なんか無いのじゃないの?」って事かも:P。
      --

      ----
      :oすずめのおやどはどこじゃろぉ
      ('>ぴよぴよ
      親コメント
    • クローズドなソースでも読める人は限定されてはいるもののいるわけで、当然その人達全員が悪意を持ってないとはいえないわけですよね。

      もちろんそれはオープンソースにも言えることですですし、オープンソースのほうが悪意を持つユーザが見ることができる確率は多いでしょうけどね。

      ただ、社会基盤としてソフトを見るなら多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる分オープンなソフトのほうが、セキュリティ的観点以外から見てもいいように思います。
      親コメント
      • by TameShiniTotta (19794) on 2004年02月18日 0時42分 (#497783)
        >多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる

        んー、それこそが「オープンの穴」である「錯覚」だと思うんだけどね。
        「見られること」と「検証していること」はまったく別の話だってことをまず理解しないと。

        みなさんがソースでもバイナリでも持って来るときに、
        どれだけの人がソースに目を落としているか非常に疑問です。
        おそらくほとんどの人はバイナリだけ落としてるのでは?
        誰も見てないのであればソースなんてないのと同じですよね。

        結局、今のオープンソースのセキュリティは、
        「誰かが見ているであろうと言う期待」と言う薄氷に過ぎず、
        それは「誰も見られないから見つからないであろうと言う期待」と、
        レベル的には何も変わらないんですよね。

        実際、信者達があれだけ「完全にセキュアなんだ!」と豪語してたqmailにしたって、
        蓋を開けてみれば「なんでそんなバカな」と言うぐらい簡単な仕組みでBoFがあったりするし、
        結局「誰かが気が付くまで」と言うポイントはクローズでもオープンでも変わらないんだよね。

        そこを理解せず単に「見られる」ことが「安全である」と強調するのは、
        「赤信号、みんなで渡れば怖くない」を地で行く行為だと思うけど。

        #オープンソースは「参加する事」で初めて威力を発揮するもの、
        #誰かに期待するならどっちでも同じだと思いますが。
        親コメント
        • by NAKA Hirotoshi (20576) on 2004年02月18日 0時48分 (#497789)
          その通り
          親コメント
        • 社会基盤としてとセキュリティ以外はと書いたつもりなんだけど・・。
          #まぁなんか我ながら意味不明な文章だしな・・。
          多くの目があるからセキュリティは安心なんて書いたつもりはなくて、多くの人が携われるから社会基盤として「安心」して使えると書いたつもりです。

          ソースプログラムレベルでのセキュリティという観点でいえば、コードの質を保つ体制が重要であってその方法のひとつにオープンソースがあるだけだと考えます。
          #もちろん、オープンであることの意味はほかにもいろいろあります。

          もう少しわかりやすくいえば、
          オープンだろうがクローズだろうが、コードの質を保つ努力をしなけりゃ同じこと、でもオープンソースだと後々便利なことがおおいよ?どっち使う?って話です。

          前半部分については、たとえクローズドソースで隠し通したとしても、複数人で開発している限り、オープンソースより確立は低いかもしれないけど悪意のソースを閲覧できる人がいないとは言い切れないよね?それって概して言えば実は危険度ってそんなにかわらないんじゃないの?って話です。特にクローズドソースだと気がつかない被害が多く出てそうな気がします。(まぁ実害が出たって話聞かないですから、杞憂かもしれませんけどね)

          #とりあえずオープンソースだから安全だとはおもってないってことで。
          親コメント
    • by Anonymous Coward
      ・徹底的に隠す→対処療法
      ・最初から見せる→事前検診、対処療法

       今回ソースの一部が出回っただけでセキュリティ上の問題が発見
      されたわけですけど、自社以外の期間にソースチェックをして貰う
      ということは無かったんでしょうか。
  • by Anonymous Coward on 2004年02月17日 17時48分 (#497499)
    「SecurityTracker社の報告書」のリンク先のページには問題のソースコード自体が含まれているので,
    汚染を気にする人は辿らない方が賢明かと思います.
  • 怪しい画像がある(ありそうな)サイトは見るな!と。

    え?私?見るわけないじゃないですかぁ~(汗
    --

    ----------------------------------------
    You can't always get what you want...
  • by oku (4610) on 2004年02月17日 18時00分 (#497518) 日記
    実は、件のソースコードは見ていなかったのですが、拡張子が .cxx なことに少しびっくりしました。

    # Microsoft 流って .cpp かと思ってた。

    • by Anonymous Coward on 2004年02月17日 19時03分 (#497572)
      gnumakefileとかも入ってたりする。
      流出したソースコードはMainsoftが使用していた物らしく、
      問題のファイルの全部がMicrosoft製だとは限らないようだ。

      ちなみに、MainsoftはWindows向けアプリケーションを
      UNIX環境に移植するためのツールとかを作ってる会社。

      Windows Source Leak Traces Back to Mainsoft [betanews.com]
      親コメント
  • やはりオープンソースのソフトウェアの方が、信頼性が高いという事なのだろうか?
    • 違います。
      ちゃんとしたデザインなしに実装するから問題が発生しています。

      それは、最近の Open Source な開発モデルにもありえます。
      # とりあえず 10% でも作ったら勝ち(プロダクト スタート)
      # Linux なんてまさしく、それ。

      「多くの人の目でチェックされた方が安全」
      とか言われる人もいますが、それ以前にやるべき事があります。

      もちろん、おっしゃった本人は、デザインがあたりまえのようにできる人ですが、
      それを聴いてる人達の level が低く、意味を読みとれないのは残念ですね。

      昔の人は、いきなりコンピュータの前に座ったのではありませんよ。
      親コメント
      • 昔の人は、いきなりコンピュータの前に座ったのではありませんよ。
        ここ「だけ」はちょっと違うと思います。
        昔の人がいきなりコンピューターの前に座らなかったのは、メンテナンスとかバグ防止とかデザインというよりも、コンピューターというリソース自体が非常に高価で、あまり長時間使えないから、「コンピューターの前に座れる貴重な時間を無駄にしない」という面が大きかったのではないでしょうか。
        昔も今もソースの汚いシステムは存在していますし。昔はソフトウェア工学も未発達でデザインもへったくれもないし。

        親コメント
        • > 「コンピューターの前に座れる貴重な時間を無駄にしない」

          その為に、デザインやアルゴリズムを練るでしょう。
          当時それが、手段であったか、目的であったかと言われれば、
          手段であったと思いますが、結果として素晴らしい事だったと。

          で、現在はコンピュータに無尽蔵に触れますので、
          手段としてデザインやアルゴリズムを練っても無駄だと。
          親コメント
  • どれくらいあるもんなんでしょうか?

    素人がやりがち(ってのはさすがにないと思うけど)。
    経験の浅いプログラマが書きそう。
    経験が豊富なプログラマでも書いちゃいそう。
    誰が書いてもはじめはこんなバグを含んじゃうもんだ。etc...

    ソースを見ないとわからないってのは
    もちろんなんですがバグの症状から診断するとどんな感じなんでしょう。

    と、ついでにプログラマの方々が他人のソースを読んだときに
    抱く感想ってのはいろいろあると思うんですが
    チームを組んで行うプログラムでも
    個人の個性ってのはやっぱり出ちゃうものなんでしょうか?
    書式、ロジックいろいろあるからやっぱり一概にはいえないのかな。

    天才の書くコードはどんなに規則で画一的なものを目指してもやっぱり
    わかっちゃうものなのか、また逆に粗野な人の書くコードも
    わかっちゃうもんなのか。

    素人な自分が興味のわくところをつらつら書き続けてしまって
    なんだか論旨が定まってない気がします。
    つか日本語としてもちょっと変かも。不快に思う方がいたらゴメン。
    • 本当のところはソースコードを見ないと分かんないのは、ご理解いただけるとして、私の感想です。

      Integer Overflow自体はそれほど多くないと思うけど、この類いのミスは経験を積んだプログラマでも うっかりやっちゃうことはあると思います。(桁落ちとか) もちろん、気をつけているんですが、似たようなミスを昨日やっちまったばかりだし。あ、ひょっとして私が間抜けなだけ?(笑)

      普通はその部分をちょっと動かすと、明らかに変な動作をすることが多くてすぐに分かるんですが、なまじまともな計算結果を出すこともあって、現象が出るまで分からないこともあります。今回は、そんなケースだったんでしょう。

      もう1つ、プログラムに個人の個性が出るか。個性に技量や信条を含めれば、出ると思います。チームでプログラムを組む場合には、書式など決められる所は、チームや会社単位でルールを決めますし(それでもチームや会社の個性は出る)、全体に関るならチーム内で吟味するんですが、実装方法は担当者の裁量に任せられる所も多いので、そこで個性が出るような気がしています。ただ、個性といっても、プログラムを書いている人も経験を積んだり、こちらから教えたりするんで、「三つ子の魂百まで」みたいな永続的なものじゃなくて、その時点でのsnapshotみたいなもんですが。

      ただ、ソースファイルは誰が書いて、誰が修正したかをちゃんと管理するのが普通だし、わざわざ「このソースは誰が書いた?テスト」なんてことをやったことはありません。そんなテストをすると見方が変わるかもしれませんね。

      --
      vyama 「バグ取れワンワン」
      親コメント
  • やっぱり (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年02月17日 20時39分 (#497637)
    オープンソースにした方がいいんじゃないの?
    部分的に漏洩したソースとはいえ、ちょっとソースが見られた
    だけで、こんなのが見つかるようだと、全ソースが公開されて
    多くの人の目でチェックされた方が安全っぽい。

    実際、セキュリティホールを見つけていても、
    本当に悪用したい人は公開しないでしょうし、
    やられる前に、穴を塞ぐにはオープンソース化が一番だと感じた。
    • Re:やっぱり (スコア:2, 興味深い)

      by naruaki (2658) on 2004年02月17日 22時23分 (#497694) 日記
      そっか、契約を結んだ大学とか大企業には、ソースが公開 されていると聞くが、それらの組織から今回のようなバグ 報告がなされないという事は、バグを見つけても言っちゃ いけません!とされていると思うことにしよう。
      親コメント
      • Re:やっぱり (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2004年02月17日 23時07分 (#497719)
        学生は遊んでいて、
        会社員は自分の仕事に忙しいってだけの事だと思うが。
        親コメント
  • by Anonymous Coward on 2004年02月17日 17時23分 (#497462)
    はうわー
    まさに Windows 2000 Pro + IE 5.5 を使ってます。
    INTERNET Watch の記事では「IE 5」としか書いてませんでしたが、
    やっぱり 5.5 もあるんでしょうね、この脆弱性。

    業務上の都合もあるのでおいそれと IE 6.0 には移行できないのですが、
    なんとか出来ないか上司&担当者と掛け合ってみねば……
  • by Anonymous Coward on 2004年02月17日 17時31分 (#497473)
    オープンソースの効果?
    古いOSはサポート打ち切る代わりにソース公開やってくれれば良いのに。
    #現行OSより良い物が出てくるかも…
  • by Anonymous Coward on 2004年02月17日 18時00分 (#497517)
    セキュリティー会社から言うがどこにあるのでしょうか?
    拾って見るぶんには問題ないのでしょうかね?

    #毎号集めようなのでAC
    #P2Pならありそうですけどね。
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...