アカウント名:
パスワード:
ないんですかね。対象のOSを使わないという以外で
> 標準ユーザーアカウントでは実行時に管理者アカウントのパスワードを要求されるので、その時点で気付くことができますね。
これはデモがUACの自動昇格を使っているにすぎないからで、それ以外に危険がないことはそれほど明らかではありません。issueページには
> NOTE: This is not a bug in UAC, it is just using UAC auto elevation for demonstration purposes.
とわざわざ書かれています。
もしUACの自動昇格だけが実質的に問題であるなら、issueページのコメントで指摘されている通り、
管理者権限を持ったユーザーで日常的にログオンしないで回避できる。
実証コードを実行しても電卓が起動しないと思ったら、Comodo Internet SecurityのDefence+が防いでいたっぽい。HIPS?かSandboxか、そういう機能搭載したセキュリティソフト導入していたら防げたりするんじゃないかな。
ゼロデイ用ならMS謹製のEMET [impress.co.jp]でええやん
インターネットに接続しないPCの電源を抜く壊す・・・
冗談はさておき、うちのKasperskyは実証コード自体をマルウェア判定してます。
電卓を起動するための様々な方法。なお実際のマルウェアは単純にユーザーに実行ファイルをダブルクリックさせるだけで目的を達成できるので、いかなるセキュリティ脆弱性も必要としない。
一応ファイアウォールのせいで外部との通信はできないしUACのおかげで他のユーザーのデータにはアクセスできないしどの道全部okをクリックするでしょうけど
> UACのおかげで他のユーザーのデータにはアクセスできない
これはUACを無力化できるという脆弱性なんですが…
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…「2週間後に公開する」と発表するくらいで良かったんじゃないの。
「あと2週間で90日経過します。そのときは公開します」ってことかと思いましたが。
それって最初から後90日で公開するよってMSに通告していたなら意味なくね?実はMSへの通告がされていなかったのなら話別だけどさ。毎日カウントダウンのように後89日、後88日ってやるの?
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。ちょっとGoogleさん虚栄心が強すぎませんかね…。
四半期相当の猶予期間があって対策できないってのもなあ…。“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?“安全より安心”でいいわけ?
結局、普段使いを標準ユーザーにしていれば影響ないということ?でも、 標準ユーザーのまま、キャッシュエントリを操作出来るようにも読めちゃうな。
どっちにしても、 今はまだWindows 7 の人ですが。。。昔ながらの感覚でいまだに管理者ユーザーでログインすることって、 ほとんどないのだけど一般的には、 管理者ユーザーで普段から利用する物なんですかね?UACがうっとうしいことはあるけれど、 標準ユーザーのままでも格段不都合って感じないんだけどなログインし直すのがいやなら、ファイラーを管理者権限で実行してもいいのだし。
セキュリティがどうの、サポートがどうの、たいして変わらない。実際、XP使い続けてても何も被害無い。
それな
Win8はまだまだ不安定だからXpの方が安定してる
と大はしゃぎしているのですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ユーザーが現時点で取れる対策は? (スコア:0)
ないんですかね。
対象のOSを使わないという以外で
Re:ユーザーが現時点で取れる対策は? (スコア:1)
Re: (スコア:0)
> 標準ユーザーアカウントでは実行時に管理者アカウントのパスワードを要求されるので、その時点で気付くことができますね。
これはデモがUACの自動昇格を使っているにすぎないからで、それ以外に危険がないことはそれほど明らかではありません。issueページには
> NOTE: This is not a bug in UAC, it is just using UAC auto elevation for demonstration purposes.
とわざわざ書かれています。
もしUACの自動昇格だけが実質的に問題であるなら、issueページのコメントで指摘されている通り、
Re:ユーザーが現時点で取れる対策は? (スコア:1)
Re:ユーザーが現時点で取れる対策は? (スコア:1)
管理者権限を持ったユーザーで日常的にログオンしない
で回避できる。
Re: (スコア:0)
実証コードを実行しても電卓が起動しないと思ったら、Comodo Internet SecurityのDefence+が防いでいたっぽい。
HIPS?かSandboxか、そういう機能搭載したセキュリティソフト導入していたら防げたりするんじゃないかな。
Re: (スコア:0)
ゼロデイ用ならMS謹製のEMET [impress.co.jp]でええやん
Re: (スコア:0)
インターネットに接続しない
PCの電源を抜く
壊す・・・
冗談はさておき、
うちのKasperskyは実証コード自体をマルウェア判定してます。
セキュリティ脆弱性【-もろよわせい】[名] (スコア:0)
電卓を起動するための様々な方法。なお実際のマルウェアは単純にユーザーに実行ファイルをダブルクリックさせるだけで目的を達成できるので、いかなるセキュリティ脆弱性も必要としない。
Re: (スコア:0)
一応ファイアウォールのせいで外部との通信はできないしUACのおかげで他のユーザーのデータにはアクセスできないし
どの道全部okをクリックするでしょうけど
Re: (スコア:0)
> UACのおかげで他のユーザーのデータにはアクセスできない
これはUACを無力化できるという脆弱性なんですが…
最後通告は出来なかったのか (スコア:0)
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…
「2週間後に公開する」と発表するくらいで良かったんじゃないの。
Re:最後通告は出来なかったのか (スコア:1)
「2週間後に公開する」
とホントの最後通告をするの?
Re: (スコア:0)
「あと2週間で90日経過します。そのときは公開します」ってことかと思いましたが。
Re: (スコア:0)
それって最初から後90日で公開するよってMSに通告していたなら意味なくね?
実はMSへの通告がされていなかったのなら話別だけどさ。
毎日カウントダウンのように後89日、後88日ってやるの?
Re: (スコア:0)
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。
公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。
Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。
ちょっとGoogleさん虚栄心が強すぎませんかね…。
Re: (スコア:0)
四半期相当の猶予期間があって対策できないってのもなあ…。
“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。
逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?
“安全より安心”でいいわけ?
Re: (スコア:0)
ここまでやらなきゃ金輪際MSが修理するつもりがないのか、90日間で治るほど簡単な話ではなかったのかもわからないし。
そもそも、クラッカーがgoogleよりも先に発見済みで、現在使用中かもわからない。
90日という期間が妥当かどうかわからないけど、隠しておけばそれで大丈夫って話ではないのだから、「とりあえず隠しておけばOK」な話じゃないと思うけど。
> 公開したところでユーザが取れる対策があるような脆弱性じゃなし
・現在の端末を他のOSに変更する。
・ぶっこ抜かれたくない情報を扱う端末を別途準備し、他のOSを使う。
標準ユーザーなら影響ない? (スコア:0)
結局、普段使いを標準ユーザーにしていれば影響ないということ?
でも、 標準ユーザーのまま、キャッシュエントリを操作出来るようにも読めちゃうな。
どっちにしても、 今はまだWindows 7 の人ですが。。。
昔ながらの感覚でいまだに管理者ユーザーでログインすることって、 ほとんどないのだけど
一般的には、 管理者ユーザーで普段から利用する物なんですかね?
UACがうっとうしいことはあるけれど、 標準ユーザーのままでも格段不都合って感じないんだけどな
ログインし直すのがいやなら、ファイラーを管理者権限で実行してもいいのだし。
Re: (スコア:0)
Windows 的には、UAC で昇格する権限を持っているのが管理者なので、標準ユーザーは UAC の画面を見ることすらできないアカウントですが。
XPから変える必要無し (スコア:0)
セキュリティがどうの、サポートがどうの、たいして変わらない。
実際、XP使い続けてても何も被害無い。
Re: (スコア:0)
それな
Win8はまだまだ不安定だからXpの方が安定してる
Re: (スコア:0)
と大はしゃぎしているのですね。