Windows XP Service Pack 2 に10件の深刻な脆弱性 48
ストーリー by GetSet
塞いでも塞いでも、何故か見つかる脆弱性 部門より
塞いでも塞いでも、何故か見つかる脆弱性 部門より
Anonymous Coward曰く、"ITmedia の記事より。Windows XP Service Pack 2に10件の深刻な脆弱性が発見された。発見したのは企業向けのコンテンツ管理製品提供企業Finjan Softwareで、
- ユーザーのローカルファイルにリモートからアクセスされる。
- SP2の警告メカニズムを回避して、警告が表示されることなくファイルをダウンロードしてしまう。
- Internet Explorerのセキュリティゾーンに関連して、インターネットからダウンロードしたコードの権限を昇格させることができてしまう。
部門名 (スコア:1)
Re:部門名 (スコア:0)
語り尽くされたのに安全にならないのは何故?
#問題が起こる度に蒸し返す事で注意を促せるから
#何か出るたびにトピック立ち上げるのはよい事だと思う。
Re:語り尽くされたのに安全にならないのは (スコア:2, すばらしい洞察)
ただpatchが出て技術詳細が明らかになったときが一番やばそう。だってpatchを当てる必要性に気がつかないWindowsユーザーがわんさか [itmedia.co.jp]いるみたいだし(^^;
SP2に脆弱性だって? (スコア:1, おもしろおかしい)
あわててバージョンアップしなくて良かったぁ。
あれ?
Re:SP2に脆弱性だって? (スコア:1, すばらしい洞察)
Re:SP2に脆弱性だって? (スコア:0)
Re:SP2に脆弱性だって? (スコア:0)
よろしかったら、対応OSを公式に明らかにしているウィルス製作者を教えていただけますでしょうか、、、
Re:SP2に脆弱性だって? (スコア:0)
Re:SP2に脆弱性だって? (スコア:0)
説明書がありません。どうしたらよいでしょうか?
Re:SP2に脆弱性だって? (スコア:0)
一度警察に相談されてみては如何でしょうか?
Re:SP2に脆弱性だって? (スコア:0)
の書き込みがネタに思えなくなってくるよな、実際。
けっこうな時間を浪費させられたよねえ (スコア:1)
大きな期待もしていないし、こういうイタチごっこがずっと続いていくことも覚悟しているから、せめて愚痴くらい言わせて欲しいよね。
オレたちの時間を返せ!
# いや、正直、SP2のユーザサポートは金になってないんです(涙)
追加料金 (スコア:0)
そのためのパッチです(w
Re:けっこうな時間を浪費させられたよねえ (スコア:0)
Re:けっこうな時間を浪費させられたよねえ (スコア:0)
重大な脆弱性の解決に費やしていたわけではないと思う。
SP2は確かに、脆弱な問題を解決しようとした機能を追加する
ものだったが、機能が追加になれば脆弱性が実際どのように
なろうと、それについてのサポートを求める声が出るの
Windowsをオープンソースに (スコア:1, すばらしい洞察)
すでに書き込みがあったように,人間で創ったものである以上,こういうことに決まっているでしょう.# わざわざ取り上げる必要がないのでは?
オープンソースにすると,M社にとって短期的に生産性が落ちるだろうが,長期的にいいはず.もちろんそれで困るユーザも少ないはず.というわけで,M社へのアドバイス:Windowsをオープンソースにして,Officeや開発ツールなどで金を儲ける.
Re:Windowsをオープンソースに (スコア:1, すばらしい洞察)
BINDやsendmail等、建増しコーディングとそれによるセキュリティホール発見→パッチのいたちごっこになっているオープンソースプロジェクトも多いわけで。
設計段階から計画的にセキュリティ対策を行っていかないと、セキュアなアプリケーションなんて絵に描いた餅でしかないような気がします。
#ここまで巨大化したWindowsをオープン化しても、セキュリティ修正より先にゼロデイアタック祭りになる予感…
Re:Windowsをオープンソースに (スコア:1)
今現状のWindowsのコードを公開しては使っているユーザを無用な危険に晒すだけです。
未発表のもの(Longhorn)をオープンソースにするのが最適です。
ちなみに、リリースが遅れるときの言い訳も
「何せオープンソースですから」
で、OK!!!!
Re:Windowsをオープンソースに (スコア:1, 興味深い)
その派生プロジェクトであるGSP(Government Security Program)で一応
ソースを開示しています。
もちろんM社の性質上ソースの改変・再配布・共有などは禁止されていますが
意地の悪い見かたをすればセキュリティーベンダーなどからフィードバック
だけ受け付ければオープンソースと同様に高い信頼性を確保できそうです
# Novellとクロスライセンスを結びそうな予感
Re:Windowsをオープンソースに (スコア:1)
収束しねぇ (スコア:1)
そこに脆弱性があることを知らないままになるよりは。
と、思ってはみるけど いつになったら出現率が減るのかね。
バグはバグ曲線でなんとなく(完全じゃないけど)収束が見える。
Windowsの脆弱性曲線はいつか収束するのだろうか。
……って毎回毎回既存コードをどっさり書き換えやがるから
いつまでたっても収束しやしねぇ。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:収束しねぇ (スコア:0)
1/2 + 1/3 + 1/4 + ....
マイクロソフト関数?
Re:収束しねぇ (スコア:1)
つまり、MSがWindowsに仕込んでいる脆弱性は無限個。
ソースファイルの容量は有限なので、……あれ?
Re:収束しねぇ (スコア:0)
不具合修正がありのまま確実なものであればソースコードが有限である以上無限発散することはあり得ないですね。
でもMicrosoftさんは脆弱性修正の名の下に新機能を追加してみたり、一つの脆弱性修正によって新たな脆弱性を生み出したりされていますので、ソースコードが有限であっても脆弱性数が無限発散することが成立するわけです。
Re:収束しねぇ (スコア:0)
実際のところ、「発売済み」である製品の修正に対する評価(社内のバグ検出工程)と、「これから発売」である製品の評価で、どちらがどっさり工数をかけられるかを考えると、普通は「これから発売」のものに工数をかけるのでは?
そうすると、WindowsのようにSPで中身がどっさり入れ替わるものでは評価の甘いコードの割合がふえて、トータルの品質は下がっていきそうな気
胡散臭すぎ (スコア:0)
> 悪用されるとWebページを閲覧しただけで、リモートからマシンを乗っ取られる
> 恐れがあると解説している。
と煽るだけ煽っておいて
> Finjan Softwareでは悪質なウイルスやワームが作成されないよう、Microsoftが
> 完全にパッチを当てるまではこれら脆弱性に関する技術的詳細は公開しない方針
> とのこと。
肝心なところを隠蔽している(金貰って黙ってるのか、それともハッタリか)。
Re:胡散臭すぎ (スコア:1, すばらしい洞察)
「回避手段は存在しない」とかの情報は欲しい所。
というかこれが言いたかったのか。
Re:胡散臭すぎ (スコア:1)
日本代理店も存在するみたい。
Re:胡散臭すぎ (スコア:0)
ウィルスが出るのを承知で公開してもメリットないし。
Re:胡散臭すぎ (スコア:0)
それを防ぐために情報を隠しているのは分かるのですが、どこからともなく沸いて出そうなんだよなぁ・・・
この記事を見てがんばり始めたクラッカーもいることでしょうし。
# 不謹慎だし単なる茶々なのでAC
Re:胡散臭すぎ (スコア:0)
誰にも教えませんけど:)
Re:胡散臭すぎ (スコア:0)
Windowsをクラックする手法を見出した。
しかし、それを記述するには余白が狭すぎる。
ダメなOSを捨てましょ (スコア:0)
Re:ダメなOSを捨てましょ (スコア:1, すばらしい洞察)
1. 捨てる奴は既に捨ててる(PC-UN*Xも成熟して来た)。
2. 一般人(not 逸般人)の大部分はバグにも負けず、ワームにも負けず...
3. Mac(超漢字、OS2etc含む)使いは↑とは関係なく使い続けている(OS X に致命的な
脆弱性があっても、まず乗り換えない)。
というあたりに落ち着いてるように思えますが。
# ちなみに自分は1。
Re:ダメなOSを捨てましょ (スコア:1)
会社では2だけれども、簡易FWやウィルスチェッカ等で今の所は無事らしい。まぁ、小さな会社でIT関連でもないのでいけてると思う。
でも、ワームに負けてる人達も大勢いる気がする。じゃなきゃあんなにワームのアタックが多いはずないと思う。
そんな事も今じゃ対岸の火事気分。私がこの記事を読んでるのも半分は野次馬みたいなものです。対策に頭を痛めている人には申し訳ないけど頑張ってとしか言い様なし。
#書いている内、アレゲな人にとってWinが呪縛に思えてきた。
Re:ダメなOSを捨てましょ (スコア:0)
こゆ意識の人がどんなOS使っても大差ないと思いますがねぇ。
何を根拠に自分の使っているOSがセキュアだと言い張るのですか?
本当にセキュアなのかどうか、自分で確かめましたか?
あなたの使っているOSは本当にクラックされていませんか?
クラックされていないという証拠はどこにありますか?
Re:ダメなOSを捨てましょ (スコア:2, 興味深い)
本当にクラックされていない証拠もないです。
ただ、それはWin使っていようが何使っていようが変わりはなく、疑いだしたらきりがないわけです。
嫌気がさしたのは情報が多過ぎることに対してで、Win95/98の時代はアンチウィルスソフト入れてパーソナルファイアーウォールいれて、毎週のようにでる脆弱性情報読んで、OS種別やらコンポーネントやらをチェックしたり、毎日でてくるウィルスのうち、流行ってるものの情報仕入れたり。しまいにはCodeRedとかががんがんアタックしてくるし、やってられんって気分ですわ。
パッチ当てて、対策してても、実際に攻撃とかくるとやっぱ精神上よろしくないし、たまにパッチ当てに失敗する事があるとかいう情報があったりして、不信感も大きかったですしね。
で、FreeBSDに変えて、MS関係の情報をばっさり捨てる事ができると、それだけで件数激減。非常に楽になって肩の荷が降りたって感じです。
ま、情報過多になってたのはbugtraqやnetsecurity覗いてたりしたのもあるんですが、それも不信感からくるものが大きかったです。あとMSサイトは探しものしにくいってのも大きいかな。
セキュリティ関係以外もWin95系だったのでOS自体が固まりやすいとか、不具合の原因を突き止めるのに骨がおれるとか、そっちも乗換要因でしたが。
#当時を思い出してたらすごく愚痴っぽくなる(笑)
Re:ダメなOSを捨てましょ (スコア:0)
いつもアンチがふれ回ってくれるおかげで、情報の速さはピカ一かと。
またバカでもパッチ当てたり対策できるのも大きいですね。
おいらはLinuxやFreeBSDを乗りこなす自信ないよ。
情報少なすぎですもん。
手間がかかるのは同じでは? (スコア:0)
変わりに、いろんなところに分散してたりするオープンソース系のセキュリティ情報をごっそり追加する必要があると思うのですが、そちらはされていますか?
Re:手間がかかるのは同じでは? (スコア:1)
いろいろ書こうと思い出していましたが、書くのを止めました。
実際の所、OSが変わった事より、時代的なものも大きい事に気が付きました。2000年前後ってメジャーなメディアは脆弱性情報なんて扱わなかったので自分で探し回る必要があったのが、今では大方の情報は普通に手に入る様になってる。そういう意味では良い時代になったかも知れません。
あと、こちら側も諦めがつき始めた事もあります。最近は特定サイトですがJavaScript許可してたり、通販でクレジットカード使う事があったりしてます。
あと、変えたかったのはOSじゃなくてベンダーでした。
情報を得る上で情報源には自ずと信頼性ってバロメータが付きだす。
セキュリティ情報はそのバロメータに応じて体重を掛けているようなものじゃないかな?そうやって負荷分散して崩れないように頑張ると。
そんな中、OSやセキュリティーソリューションだしてるベンダーやグループはさらにそれを支えていたりして、もっとも信頼出来るべきものじゃないといけない。
でもMSは信頼できなかった。それがすべてかも。
#そんな意味では最近片より過ぎかも。気を付けなくちゃ。
Re:手間がかかるのは同じでは? (スコア:0)
--引用ここから--
セキュリティ対策は、何かをしてしまえばそれで終わりではなく、こつこつと情報を集め、ひとつひとつ丹念に対策をとっていく、それを毎日延々と繰り返すというのがセキュリティ対策の第一歩だと私は思います。
セキュリティホールはどんなOSやソフトであろうと、どんなに長い間安定して使われていようと、いつか突然でてきます。
長い間、まったく問題無いと思われていたものに、ある日突然発見されたりするものです。どんなOSにも例外無くセキュリティホールはあります。よく
Re:手間がかかるのは同じでは? (スコア:0)
使わない機能にパッチ当てられても・・・
Re:ダメなOSを捨てましょ (スコア:0)
シェアも機能面でも余計なものがなかったので
アタック使用がなかった。バグはあったけど
ウイルスも感染したことなかったし
人が持ってないようなOS
人が使ってないようなプロセッサ
これ最強
Re:ダメなOSを捨てましょ (スコア:0)
何を根拠にWindowsがセキュアだと言い張るのですか?
本当にセキュアなのかどうか、自分で確かめましたか?
あなたの使っているWindowsは本当にクラックさ
Re:ダメなOSを捨てましょ (スコア:0)
見方を変えてみると
「Windows+タコ仕様」のタコが問題なわけで
家も外もないようなアホなプラウザ機能を削るだけ結構安全になりますよ
これで安心しろってのは無理だけど、脆弱の原因がIEなのは言うまでもなく、
捨
脆弱性と言ってますが一部は仕様です (スコア:0)
M$が完全にパッチ当てないので技術情報は公開しません。
だったらヤだな
今後は (スコア:0)
Scrapd and Poor n
と呼ぼう!。
Microsoftが反論してますよ (スコア:0)