パスワードを忘れた? アカウント作成
1320746 story
セキュリティ

Windows Mediaに脆弱性、動画を再生するだけで意図しないコードが実行されるおそれ 24

ストーリー by hylom
迅速なアップデートを 部門より
あるAnonymous Coward 曰く、

1月11日、マイクロソフトがWindows Mediaにおける脆弱性2件を公開した。問題が発生するのはWindows XP/Vista/7およびServer 2003/2008。

公開されたのは、Windows Multimedia LibraryおよびDirectShowの脆弱性で、前者は意図しないコードの実行を引き起こす「緊急」の深刻度、後者は「重要」の深刻度という。ともにすでにセキュリティ更新プログラムがリリースされている。

2012年1月のセキュリティ情報によると、「特別に細工されたメディア ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります」とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by onetime_id (39093) on 2012年01月12日 20時46分 (#2079794) 日記

    先月の定例アップデートにもWindows Media の脆弱性により、リモートでコードが実行される (2648048) [microsoft.com]って深刻度「緊急」のパッチはあったし、年に数回はあるっぽいのだけれど今月のは何か特別に危ないのかしら?

    • by fs0x7f (39059) on 2012年01月13日 0時53分 (#2079895) 日記

      Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
      WebブラウザがDirectXでメディアファイルを処理するってのは良くある事なので、Webページを見るだけで感染って事態が発生します。
      つまりはGENOウィルスの悪夢ですね。アレは主にAdobeのFlashとかPDFでしたが、Webブラウザがプラグインなどに外部委託した先で穴が開くって意味では同じタイプです。

      ユーザ権限の昇格だのLAN経由でリモートコード実行だのなんてのはNATが全盛の今では懐に入られない限りほぼ無意味なハズですから、Webブラウザなどで"見るだけ"で発動する脆弱性が危険視されるのは当然でしょう。
      # ・・・そろそろIPv6で直接ネットに晒される時代が再来するかもしれませんけど、それはそれ

      親コメント
      • by onetime_id (39093) on 2012年01月13日 8時03分 (#2079938) 日記

        > Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
        だとするとDirectShowの深刻度が「重要」って可笑しくない?
        重要のほうが緊急よりは深刻度、下ですよね?

        親コメント
        • by Anonymous Coward

          「緊急」は、悪用されるとユーザが特に何もしなくても感染し、
          他にも広げて蔓延する可能性があるもの。
          「重要」は、悪用されるとユーザの情報が抜かれたり、
          壊されたり、あるいは動作に支障が出るもの。
          「重要」は緩和策・回避策があるもの、かな。

          • by T.Ozaki (33169) on 2012年01月13日 22時29分 (#2080304) 日記

            深刻度の指標は攻撃の内容ではなく、攻撃の容易さによるものです。
            概ね次のように分類できると思います。

            ・「緊急」…ユーザーの(能動的な)介入無しに攻略コードを実行させられるもの
            ・「重要」…ユーザーを攻略コードに誘導し実行させることで攻撃が成立するもの
            ・「警告」…攻略コードを実行させるために複数の条件が必要なもの、または攻略対象がデフォルト無効なもの
            ・「注意」…攻略コードの実行は通常の状態では行えないもの

            (参考 MSRCマイクロソフト セキュリティ情報の深刻度評価システム [microsoft.com])

            今回の修正対象は「Windows Media Libraryの脆弱性 (CVE-2012-0003)」と「DirectShowの脆弱性 (CVE-2012-0004)」の2つで、攻撃の容易さ的には共に「緊急」に値するものですが、DirectShowの脆弱性の「問題を緩和する要素」には

            Windows Media Player 10、Windows Media Player 11、および Windows Media Player 12 で、WMP セキュリティ設定によりキャプションの表示が既定で阻止されます。

            とあり、攻撃を成立する要素のひとつ(であると思われるこの設定)がデフォルト無効で成立しないため、深刻度評価が1段下がっているようです。

            もっとも、前者(Windows Media Library)の問題によってブラウザからMIDIファイルを読み込んだらあぼーん的なことになるのは想像に難くないので、パッチは早めに当てるべきでしょう。

            親コメント
  • by Anonymous Coward on 2012年01月12日 22時27分 (#2079839)

    使うとしたらどんなことに使うんでしょうかね?
    Windows Mediaエンコーダとか使ってサーバとかできるんですかね

    • by Anonymous Coward on 2012年01月13日 0時32分 (#2079883)

      WidnowsServerをデスクトップOSとして使うという
      珍妙なスレが2chにあったりします。
      どこに利点があるのかは知りません。

      が、こういう人のためにも、対象になりうるなら
      Windows Serverも書いておいてあげるべきなんだと思います。
      彼らは市販品だったら安心して使えると盲信しているのですから。

      なお、Windows Home ServerのDSP価格がダンピングぎみに安いので
      これをデスクトップOSとして…という人もいたようですが
      こっちは、デスクトップOSとしての利用はライセンス違反なのだそうです。

      V120搭載液晶が割れたノートPCのジャンクが手に入ったので
      これでUbuntu Serverでも動かしてみようかと思う今日このごろ。
      WHSの価格設定はどう見てもLinuxあればこその低価格だなぁ…

      親コメント
      • 今時だと、WindowsでソフトウェアRAID5を使おうとすると選択肢はWindows Serverになりますね。
        親コメント
      • by Anonymous Coward

        それほど珍妙でもない。開発者なら構成したくなるオプションの一つ。

        #Server Editionでなければ有効化できない機能や、サーバーでしか実行できないプログラムを直接デバック出来るとか。
        #HYPER-Vが使えるのも利点。

        ServerでWindows Mediaが実行できるメリットについても、あまり知られていないけどWindows Media Serviceがある。
        音声や動画の流入・流出を管理できる。
        もちろん、バックグラウンドとして、別コメでも指摘のあったDirect Show Filterが使われる。

        今はどうかわからないが、一時期アダルト動画サイトなんかこれで自動配信するのが流行ってた。

        • by Anonymous Coward

          スレ元の基本精神は、開発者の利便ではなくて、
          学生ならば Server Edition は無料(たしか)
          Server Edition を使っているとギークっぽい
          がメインだと思われます。

          実際問題、それなりにドメインを構築していて、Server Edition の管理をしている人が会社や自宅で端末として使うためとか、それで動くプログラムとかの開発している人でないと、デスクトップ用途として使う意味はほとんどない。

          ドライバも含めて実際一ユーザーとしては不便ばかりですよ。ある意味 windows ギークであるほど不便に思う。動かしたいソフトや周辺機器が動かないことがめっちゃ多いです。

          • by Anonymous Coward

            昔、Windows 2000 Server をデスクトップ用として使ってたことがある。
            あの頃は何か合理的理由があったんだよな…。ミラーリングしたかったんだったかな? 覚えてないけど。
            コードもデスクトップOSとほぼ同じだったはずで、周辺機器やアプリでの非互換を意識することはありませんでした。

            ウイルス対策ソフトの選択肢が少ない&高価なので、マシン更新のタイミングでサーバOS使うのはやめちゃいましたけど。

          • by Anonymous Coward

            確かに動かないソフトは多いけど、それはアプリがわざと制限しているのが大半(サーバー版バックアップソフト買ってねとか)。
            ドライバも「標準」で入っていないものは多いけど、最近はマイナーなハードウェアは駆逐されてるから、ジェネリックなドライバを入手すれば動く。x64ドライバも拡充されつつあるし。
            もちろん、デスクトップパフォーマンスは悪い(Aeroが遅いとか)はあるけど、使用に足る理由はあるよ。
            そもそも、普通のユーザーがServer Editionを正規に入手とかありえないわけで、その可能性を考えても仕方ないかと。

            #趣味でServer使うのがアレゲなのは同意。

    • by Anonymous Coward

      例えば、YouTube のようなサービスを作ったとする。入力されたソースは公開フォーマットに合致していればそのまま。合致していないなら再エンコードとかはわりとありそうなセンじゃないかな?
      ハイレートで記録して仕掛けを入れた Windows Media でもアップロードすればどっかーんと持っていけるんじゃないかな?

  • by Anonymous Coward on 2012年01月16日 18時25分 (#2081429)

         ィヘ{::             :::::::| 
         |ヘ,i:   _        __ .::::f} 
         '、 :l    ̄''\,,.   ,,/⌒`::{l 
         / f:〉   ーtッ-、〉  /ィtッ‐、/.::|. 
        /ー|:l   `ー‐' /  |i''ー‐''´ :l三ニ‐
     ィニ三   l     ,ィ´  ー、    /三ニ
    ´??∵/ ∧ ー─'''´ 'ー、__彡'ヘ、_ノ彡三  その動画、ウイルスだよ。知らないのか?..
    彡¨?   |:;:;゙、   /'ー──‐''´ .:ノ彡;;;;;;;
          |:;:;:::;\:::.. `ー─' .:::/ヽ;;;;;;;;;;;

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...