マイクロソフト、Autorun無効化機能を適切に動作させるための修正プログラムを公開 55
そもそもAutorun機能って必要かなあ… 部門より
あるAnonymous Coward 曰く、
マイクロソフトは2月24日、Windows 2000/XP/Server 2003向けに、自動再生(Autorun)機能を無効化するための更新プログラムを公開した(セキュリティ・アドバイザリ967940、サポート技術情報967715)。
Windows 2000/XP/Server 2003ではレジストリを書き換えることでAutorun機能を無効にできるが、US-CERT(米国コンピュータ緊急事態対応チーム)が「レジストリを書き換えてもAutorunが実行されるケースがある」と指摘していた。今回の更新プログラムはこれを修正するもので、Windows Updateなどを通じて配布される。
ただし、この更新プログラムを導入しただけではAutorunは無効にはならない。無効化するにはこの更新プログラムを導入したうえで、レジストリの書き換え、もしくはグループ・ポリシーの設定を行う必要があるので注意していただきたい。
現在、Autorun機能を悪用し、USBメモリなどを経由して感染するワームが急拡大しており、今回の更新はその対策の一環となる。なお、Internet Watchの記事によれば、同内容の更新プログラム(サポート技術情報953252)が1週間ほど前にすでに公開されていたが、こちらはユーザーが手作業でインストールしなければならないため、あらためて自動更新で配信することにしたとのこと。
(追記:2009/03/01 12:41 otk)文末の「サポート技術情報953252」の公開日時について、誤りであるとのご指摘をいただきました(#1522776)。編集子が同文書の最終更新日と公開日を混同して記述してしまいました。おわびのうえ、訂正いたします。
KB953252 の公開時期が 1 週間前? (スコア:3, 参考になる)
「1 週間ほど前」というのはどこから出てきた情報でしょうか。 Internet Watch の記事には
とあるだけで、 KB953252 が公開された時期については記述がありません。 #1522674 [srad.jp] でも書きましたが、以前 KB953252 を見たときには最終更新日が 2008 年 9 月 11 日になっていたので、その日までには公開が始まっていたはずと僕は思っています。
Re:KB953252 の公開時期が 1 週間前? (スコア:1)
otkです。ご指摘のとおり、Internet Watchの記事、およびKB953252文書の中に「公開日」の記述はありませんでした(「最終更新日」と混同しました)。修正のうえ、おわびいたします。情報ありがとうございました。
Re:KB953252 の公開時期が 1 週間前? (スコア:2)
修正ありがとうございます。
タレコミがまるっきり間違っているようなのだが (スコア:2)
md5 WindowsXP-KB967715-x86-JPN.exe すると、2/4 にダウンロードした物も、今ダウンロードした物も E740E5ADCB3BEE1ADB8062B9557C5FEE で一致する。よってプログラムが変わったわけではない。
KB953252 は「サポート技術情報」であって更新プログラムではない。しかもここで言及されているのは去年出た MS08-038 の事。
目を覆いたくなるような間違いのオンパレードですね…今回は KB967940の「このアドバイザリの目的は何ですか?」を見ると、”自動更新から利用可能になったことを通知するものです”とあるから、変わったのはこの点だけで、アドバイザリだけ番号を変えて出しなおしたようだが。
Re:タレコミがまるっきり間違っているようなのだが (スコア:5, 参考になる)
KB967715 [microsoft.com] は現在 Revision 1.0 で最終更新日が 2 月 24 日なので、そんなことはないのではないでしょうか。一部のユーザーに対して先に公開されていたということはあるかもしれませんが。
以前に公開されていて自動更新で配布されていなかった修正プログラムは、 KB953252 [microsoft.com] に書かれているものです。 KB953252 は、本件のバグの修正がそれまで Windows Vista と Windows Server 2008 向けにしかリリースされていなかった (MS08-038 (950582) [microsoft.com]) のに対し、 Windows 2000/XP と Windows Server 2003 向けにも修正プログラムをリリースしたことを知らせるサポート技術情報です。 KB953252 を以前見たときには最終更新が 2008 年 9 月 11 日になっていたので、それまでには 2000/XP/Server 2008 向けの修正プログラムがリリースされていたものと思います。
すまん、私がまるっきり間違っていたようだ (スコア:2)
正:セキュリティ・アドバイザリ967940は、内容的には以前に出ていたもの
Re:タレコミがまるっきり間違っているようなのだが (スコア:2)
最後の文の「2000/XP/Server 2008」は「2000/XP/Server 2003」の書き間違いです。念のため。
Re:目を覆いたくなるような (スコア:0)
>自動更新から利用可能になったことを通知する
ITプロフェッショナル(笑)な人間なら、自動更新に含まれないパッケージ「も」必要な
環境があることを調べられるけど、一般人は自動更新に含まれないものは必要性がない、
と考えて他の情報源にあたらないのだから、自動更新に含まなければ無いも同然だったり。
(そもそも、自動更新以外のパッチ検索が複雑という点が問題だ)
これを適用しなければ、レジストリいじっただけでは意図した動作にならないのだから、
もっと早く自動更新に含んで良い内容だったように思える。
目を覆いたくなるようなMSのサポートの一例ですね。
Re: (スコア:0)
今回の情報にもたどり着けないようなユーザーが、果して適切にレジストリを編集しているものなのでしょうか。
ゴミ箱の中の実行ファイル (スコア:1, 興味深い)
ゴミ箱に移動したコマンドが実行できるという仕様に
変更はいつ来るんだろう?
ゴミ箱に移動したファイルについて、復元以外の権限がある時点で
間違えている気がして仕方ないんだけど。。。
このへんWin7ではどうなさ?
知ってる人教えてください。
# ゴミ箱に移動したファイルの指定方法を知らないので。。。
ゴミ箱という機能をそろそろ真剣に考えてほしいかもしれない。(利便性混みで)
Re:ゴミ箱の中の実行ファイル (スコア:1)
Win7βに限らずVista以前のWindowsもそうなのですが・・・
以下の件であれば、Win7βでも実行できることを確認しました。
Win9x系を除き、ごみ箱のパスは記号やランダム英数字を含むので、
初心者はこんな面倒なことはしないと思いますが。
・フォルダオプションで保護分も全表示し、ごみ箱のパスを確認
・dirコマンドでごみ箱内の格納ファイル名を確認
・ファイル名指定実行/コマンドプロンプトで格納ファイルのフルパス入力
匠気だけでは商機なく、正気なだけでは勝機なし。
Re: (スコア:0)
autorun無効化 (スコア:1)
デジカメプリントサービス等が難しくなりそうですね。
USBメモリ等を差す→ウィルスチェック→Autorunという、自動化する仕組みができれば良いのでしょうけど、実現が難しそうです。
その程度のことをする端末なら (スコア:2, すばらしい洞察)
windows を使わなければいいじゃないですか。
Re: (スコア:0)
Windows以外でも組み込みでカラースキームの調整とか普通にできるOSってあるのですか?
Re:autorun無効化 (スコア:1, すばらしい洞察)
OS(ファイルシステムのクライアント)がautorun.infを読んだり、それが指定している実行ファイル等を読んだりするときに、
その中身がクライアントに渡る前に、ウイルスチェックを済ませることができるような、そういうソフトを。
Re:autorun無効化 (スコア:1, すばらしい洞察)
環境の場合は、アンチウイルスは要らないです。
適切なコードサイニングしておいて、それ以外は実行できないように
しておくだけでいいんじゃないでしょうか。
プリントサービスの提供会社がコードサインしたものだけを実行許可すれば
いいだけですね。
オレオレ認証局でいいので、認証局の証明書は、予め安全な方法で
各プリント端末にインストールしておけば、発行手数料も更新料もかからず、
手間以外のコストはかからないと思います。
逆にアンチウィルスをインストールする場合、パターンファイルを
常に新しいものにしておかないと、日々新しいものが登場するウィルスに
対応できませんよね。
Re: (スコア:0)
でも、それはアンチウイルスでブロック出来ないでしょう?
Re: (スコア:0)
ウイルス感染したUSBメモリ刺したことありますけど、定義ファイルがしっかり更新されていればAutorunが作動するときにブロックしてくれますよ。
対策ソフトがウイルスとみなさなければ、勿論そのまま感染。
Re: (スコア:0)
なぜ『USBメモリ上のプログラムを実行する』必要があるんでしょう?
すでに実行しているメニューなどから既定のプログラムを動作させて、それがデータファイルを読み込めばいいだけじゃないの?それ以外に何が必要なサービスなのか分かりません。
いったいどういうサービスを提供するんだ???
Re: (スコア:0)
また、ウィルスチェックも別アプリケーションを実行しようとしたらチェックするような
仕組みになっているから問題ないと思いますが...
このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:1, 興味深い)
法規制しても良いくらいだ。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:2)
同意。
autorunという機能が存在すること自体が人災だと思いますね。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:2)
AutoRun という機能そのものについて言っているのか、 AutoRun が USB メモリー等で効くことについて言っているのか知りませんが、どちらにしても、それを Windows で初めて AutoRun の仕組みが提供された Windows 95 が出た時点でおっしゃっていたなら感心します。そうでなければ、後出しじゃんけんで相手を罵倒するのは楽しいですか。
一度製品に組み入れて広く使われるようになった機能を後から取り除いたらどんな非難の嵐が待ち受けているかも想像されると良いのではないかと思います。
Re: (スコア:0)
>AutoRun の仕組みが提供された Windows 95 が出た時点でおっしゃっていたなら感心します。
感心も何も、昔から誰もがさんざん危険だと指摘してきた仕様だと思うんだけど...
Autoexec.batを使うとか、Autostartを使うとか、ユーザーに無断でプログラムやマクロを実行
する機能を利用することはウィルス作成の基本中の基本。
もしあなたがこういう事を本当に知らなかったんだとしたら、こういう明らかに危険な仕様が
沢山あるWindowsを危険じゃないとMSや信者が長年言い張て来た甲斐あって、最近は掲示板
等でこういう事を言うと必ずあなたのように何の知識も無い初心者レベルのMS信者が荒らし
に来るから、あまりこの手の話の相手をしたくないと思われているというだけの話でしょう。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:2)
僕には、あなたは当時 AutoRun の危険性を Autoexec.bat やオートスタートの危険性と同程度としか認識していなかったように読めます。それでどうして「少しでも脳味噌があればこんな危険な機能を製品に実装するなんて事は起こり得ないはず」などと言えるのでしょう。
AutoRun が危険なのは感染経路になるからです。 Autoexec.bat やオートスタートは既にウイルスに感染したコンピューター上でウイルスのコードを繰り返し動作させるために使えますが、感染経路としてはあまり使えません。
それと、 AutoRun を感染経路に使うウイルスって、 Windows 95 がリリースされてすぐに出てきていたのでしょうか。うまく調べられませんでした。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:3, 興味深い)
自動再生の危険性に関してはだいぶ前から言われてますね。知らないというなら、あなたが知らないだけです。
自動再生を媒介とするウイルスは、80年代初頭にApple IIのフロッピーを媒介とするものが出現しています。
Apple IIはフロッピーを挿入するとブートセクターを読み込んで実行する仕組みになっていたので感染力が非常に強かったと記憶しています。
PCATはその点、フロッピーが挿入された事を検出できない安全設計(笑)だったため、自動再生を実装出来なくて安全でした。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:2)
恥ずかしながら知りませんでした。教えていただきありがとうございます。
だとすると、 Windows 95 の当時でも、 MO ディスク等書き込み可能なリムーバブルメディアを経由したウイルスの感染が懸念されていたり、実際そういうウイルスが存在していたりした可能性はありますね (当時、書き込み可能なリムーバブルメディアで AutoRun が効いたかどうかわからないのですが)。「後出しじゃんけんで相手を罵倒」していると言って非難したことをお詫びします。
Re: (スコア:0)
AutoRunのように自動的に実行ファイルをキックするのが危険
これは誰でも言えます。言うだけなら。
では、自動的に実行ファイルをキックしない場合、どうするか。
たとえばアプリをCDからインストールするとき、ユーザーが説明書に従って実行ファイルを手でキックする?
そのCDが悪意ある者によって作られていても、悪意ある実行ファイルの実行を防げますか?
たとえばウイルスに感染したPCに接触したUSBメモリ内の写真を表示するとき、ユーザーが手でExplorer等で開く?
フォルダやファイルに偽装された実行ファイルがあっても、その実行を防げますか?
程度問題ではありますが、AutoRunをOFFにしないで使っているユーザーは、引っかかるでしょう。
では、実行ファイルの電子署名を見て、安全なものだけを実行するようにしますか?
誰が実行ファイルを監査して電子署名を付けますか?
そう簡単なことではないのです。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:1, 興味深い)
> そのCDが悪意ある者によって作られていても、悪意ある実行ファイルの実行を防げますか?
自動実行が無ければ、可能性は激減しますね。
いつの間にかポケットに忍び込まされたUSBメモリを、ゴミ箱直行にできる人がどれだけいるでしょうか?
僕は出来ません。
と、ここまで書いて、電源-グランドショートさせたUSBメモリをポケットに忍び込まされた場面を想像してしまいました。
憶えの無いUSBメモリはゴミ箱直行するようにしよう。
フラッシュメディアは「メディア」であると同時に「ハードウェア」なんですね。ハード的な保護も考慮しないと危険ですね。
Re: (スコア:0)
甘い、甘いよ。
Re:このような危険極まりない機能が製品化されたプロセスを改善すべき (スコア:1)
それよりも、プログラムの開発環境をなんとかすべき。
少しでも脳みそがあれば、プログラミングを誰もが自由に出来るような事態になんてしなかったはず。
インターネットで資料やツールが誰でも簡単に手に入るなんて、危険極まりない。
プログラマーは登録制にして、プログラミングツールも厳しく規制すべき。
オープンソースも悪用される危険性を考えれば規制すべき。
プログラムは選ばれたものが厳しい管理下で行うべきものだ。
利便性を無視すればだけど。
Re: (スコア:0)
同じようにJavaScriptも規制すべき技術だと思う。
当初から危険性は指摘されてきた。
これを実装した、Netscapeの開発者達はもう少し脳みそをつかうべきだったと思う。
そして (スコア:0)
初めっからWindows Updateで誰にも知られずに更新しちゃえばよかったんじゃないの (スコア:0)
Re: (スコア:0)
WindowsUpdateは導入するプログラムの詳細も参照できるので誰にも知られずって訳にもいかないのでは?
こういう事を気にする人はまず自動更新になんてしないと思うし。
利便性と安全性を天秤にかけた末 (スコア:0)
Re:利便性と安全性を天秤にかけた末 (スコア:1, 興味深い)
一回ウィルスがUSBフラッシュから検出される騒動があったので、管理下のPC、autorun無効にしています。
適用の際に「不便になります!」と宣言しましたが、今のところ特にUSBメモリの使用で文句言いたくなるほど不便だということはないみたい。
でも、いきなり動かず必ず「autorun起動/フォルダを開く/スキャン」の選択メニューが出るとかの仕様変更で対応はできたはずだよ。ダウンロードした実行ファイルを実行していいか聞くのと同じように。
# 悪しき仕様を真似ちゃったGNOMEはどうしてくれるんだ?なAC
# Wineが入ってれば.exeも動くけど、ウィルスまで完璧に実行できちゃうWineはいやだ。
Re:利便性と安全性を天秤にかけた末 (スコア:1)
うーん、Vistaから処理メニューが出ますが、あれっぽいカンジですかね?
# それでも引っかかる(フォルダを開くに偽装されてるらしい)ので、これを適用した上で、ポリシーで禁止にするかどうか
ってことかと
...実行できる権限や範囲って決めるの難しいですね。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
ま、CDやDVDの場合はインストール用メディアの性格が強いけれど、USBメモリだとまだ多少そういう物が出始めた程度ですから、不便にはならないでしょう。
インストール用メディアとしての性格が強くなる前にautorunを不可にしてしまえば、困ることはないかと。
Re: (スコア:0)
芋の通信専用デバイスがUSBメモリ部分にインストーラとツールのキッカ(?)が入っています。
Autorun禁止のついでにいろんなサービスとめたりあちこちいじってたら、
インストール直後はデバイスとして見えるものの一度抜くとそれ以降はデバイス刺しても
OSからは見えないという症状をくらって結局…
OSごと再インストールしましたとさ。Vistaの再インストールは地獄だよ。
それ以来システムをいじるのにはちょっと慎重になってる。
CCCD (スコア:0)
いまだに新規格に移行しないでCD使ってるのは、補償金がおいしいからなんですかね。
Re:CCCD (スコア:2)
CCCDと言えば激裏クラック情報「シフトキーを押したままCDを入れる」 [srad.jp]ですよ
今回の件でMicrosoftが訴えられないか不安です:p
脳味噌腐乱中…
やっと直ったのかよ、という気はしないでもないけど (スコア:0)
とりあえずは評価していいんじゃないの。
# そういや昔のMacはフロッピーを入れると勝手に読む仕様だったな(遠い目)
Re: (スコア:0)
勝手に読むって何の事?
Autoranみたいに勝手に何かのファイルを開くような
危険な仕様は無かったと思うけど。
Re:やっと直ったのかよ、という気はしないでもないけど (スコア:2, 参考になる)
Desktop Fileがらみの話かな。
フロッピーにアプリケーションが入っていたとして、それをマウントすればシステムにそのアプリケーションの関連付け情報やらアイコンデータが自動的にコピーされる仕組みがあって、そういう情報はDeskTopっていう不可視ファイルに記録されてた。
特にインストール作業とかしなくてもOKで、アプリケーションを削除したり、ディスクを抜いても書類のアイコンが保たれたりする便利なシステムだったのだけど、この仕組みを利用して感染するウイルスが大流行したんだよね。
Re: (スコア:0)
たしかに。
ただ、Finderの表示時に、ファイルのアイコンをリソースフォークから読み込むので、
それをフックして自動処理というのがあったと思う。
それを一般的なものと勘違いしてるんじゃないのかな。
Re: (スコア:0)
Re: (スコア:0)
フロッピーとは全然違う話みたいだけど、こちらはMac用IEの脆弱性の問題ですね。
MS製品を使うといろんな事が起きるなあ。
Re: (スコア:0)