パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoogleのリサーチャーがWindows 8.1の未修正の脆弱性を公開」記事へのコメント

  • by Anonymous Coward on 2015年01月04日 12時18分 (#2737610)

    ないんですかね。
    対象のOSを使わないという以外で

    • この脆弱性はリモートからコードを実行できないので、単体では怪しいファイルを開かないといった普通の対応で回避できるでしょう。ただし、他の脆弱性と組み合わせればリモートからの実行が可能になることもあるので、OSやアプリケーションを最新の状態に保っておくとより安全です。また、標準ユーザーアカウントでは実行時に管理者アカウントのパスワードを要求されるので、その時点で気付くことができますね。
      親コメント
      • by Anonymous Coward

        > 標準ユーザーアカウントでは実行時に管理者アカウントのパスワードを要求されるので、その時点で気付くことができますね。

        これはデモがUACの自動昇格を使っているにすぎないからで、それ以外に危険がないことはそれほど明らかではありません。issueページには

        > NOTE: This is not a bug in UAC, it is just using UAC auto elevation for demonstration purposes.

        とわざわざ書かれています。

        もしUACの自動昇格だけが実質的に問題であるなら、issueページのコメントで指摘されている通り、

        • UACの脆弱性ではないことに異存はありません。標準ユーザーでも影響を受けるといったコメントはあちこちで見られますが、そうなると管理者権限の有無以前にパスワードなしで別のユーザーとして実行できることになってしまいますよね。実際どうなんでしょうか。
          親コメント
    • 管理者権限を持ったユーザーで日常的にログオンしない
      で回避できる。

      親コメント
    • by Anonymous Coward

      実証コードを実行しても電卓が起動しないと思ったら、Comodo Internet SecurityのDefence+が防いでいたっぽい。
      HIPS?かSandboxか、そういう機能搭載したセキュリティソフト導入していたら防げたりするんじゃないかな。

    • by Anonymous Coward

      ゼロデイ用ならMS謹製のEMET [impress.co.jp]でええやん

    • by Anonymous Coward

      インターネットに接続しない
      PCの電源を抜く
      壊す・・・

      冗談はさておき、
      うちのKasperskyは実証コード自体をマルウェア判定してます。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...