Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 61
ストーリー by headless
批判 部門より
批判 部門より
Googleは10月31日、ローカルでの特権昇格が可能となるWindowsカーネルのゼロデイ脆弱性を公表した。Microsoftでは11月8日にパッチの提供開始を予定しており、それを待たずに脆弱性を公表したGoogleを批判している(Google Security Blogの記事、
Microsoft Malware Protection Centerのブログ記事、
The Guardianの記事、
Ars Technicaの記事)。
脆弱性はwin32k.sysに存在するもので、サンドボックス迂回が可能になる。Googleではこの脆弱性とFlash Playerの脆弱性を組み合わせたスピア型フィッシングキャンペーンを検出し、10月21日にMicrosoftとAdobeへ通知している。MicrosoftはGoogleおよびAdobeと協力して攻撃キャンペーンの調査やパッチの作成を進めており、Adobeは脆弱性(APSB16-36)に対処するFlash Playerの更新プログラムを10月26日に公開した。しかし、GoogleはWindowsの更新プログラム提供開始を前に、通知から7日以上経過したとして脆弱性を公表してしまう。Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。
確認されている攻撃は、MicrosoftがSTRONTIUMと呼ぶグループが行っているもので、初めにFlashの脆弱性を悪用してブラウザープロセスの制御を奪う必要がある。そのため、攻撃はFlashを最新版に更新することで攻撃は回避できるようだ。STRONTIUMはATP28やFancy Bearなどとも呼ばれ、米民主党全国委員会(DNC)へのサイバー攻撃を行ったグループとみられている。
今回公表されたwin32k.sysの脆弱性はWindows Vista~Windows 10まで存在するが、Windows 10 Anniversary Updateではwin32kカーネルコンポーネントに攻撃を緩和する対策が追加されており、Microsoft Edgeを使用する場合は攻撃から保護されるという。Anniversary Updateで企業向けに提供されるWindows Defender ATPでも攻撃を検出可能だ。また、Windows 10上のGoogle Chromeでは、Win32k Renderer lockdownにより、win32k.sysのシステムコールをブロックしてサンドボックス迂回を防止できるようになっているとのことだ。
脆弱性はwin32k.sysに存在するもので、サンドボックス迂回が可能になる。Googleではこの脆弱性とFlash Playerの脆弱性を組み合わせたスピア型フィッシングキャンペーンを検出し、10月21日にMicrosoftとAdobeへ通知している。MicrosoftはGoogleおよびAdobeと協力して攻撃キャンペーンの調査やパッチの作成を進めており、Adobeは脆弱性(APSB16-36)に対処するFlash Playerの更新プログラムを10月26日に公開した。しかし、GoogleはWindowsの更新プログラム提供開始を前に、通知から7日以上経過したとして脆弱性を公表してしまう。Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。
確認されている攻撃は、MicrosoftがSTRONTIUMと呼ぶグループが行っているもので、初めにFlashの脆弱性を悪用してブラウザープロセスの制御を奪う必要がある。そのため、攻撃はFlashを最新版に更新することで攻撃は回避できるようだ。STRONTIUMはATP28やFancy Bearなどとも呼ばれ、米民主党全国委員会(DNC)へのサイバー攻撃を行ったグループとみられている。
今回公表されたwin32k.sysの脆弱性はWindows Vista~Windows 10まで存在するが、Windows 10 Anniversary Updateではwin32kカーネルコンポーネントに攻撃を緩和する対策が追加されており、Microsoft Edgeを使用する場合は攻撃から保護されるという。Anniversary Updateで企業向けに提供されるWindows Defender ATPでも攻撃を検出可能だ。また、Windows 10上のGoogle Chromeでは、Win32k Renderer lockdownにより、win32k.sysのシステムコールをブロックしてサンドボックス迂回を防止できるようになっているとのことだ。
調査結果だすにも (スコア:1)
範囲が広かったり、現象から原因が明確でなかったりすると、8日はキツい...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
既に攻撃が確認されてるんだから、情報公開しないとその危険性と回避策を流布できない、ってことじゃないかと。
取り敢えず回避策をアドバイザリーとして公開しとけばOKなんじゃないかな?
Re:調査結果だすにも (スコア:1)
なんですけど、それが想定原因や現状からの推定で、間違いや穴があったときにかなり叩かれますから...ある程度の確度が欲くなりそう
# 初期アドバイザリーはたしかに出してほしいけど。
M-FalconSky (暑いか寒い)
Re:調査結果だすにも (スコア:1)
Googleの言い分としては、その回避策を出さなかったから公表するということなので、道理が通ってないよね。
回避策もないまま脆弱性の情報だけ公表したら、対策も何も、悪人へ広く悪用方法を伝授してるだけ。
つまりGoogleのやりかたは、MS/Windowsユーザーへの嫌がらせでしかなかったんだよ。
Re: (スコア:0)
通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシー
初期公開のアドバイザリーが
完璧でなければならないなんてことはないんで
無言で精進などせず
「報告ありがとう。アドバイザリー公開したっす。詳細は順次更新するからちょっと待ってて」
と7日以内に対応すればよいのでは?
# 完璧なアドバイザリーやパッチを7日未満で用意して公開せよとは言っていない
EdgeかChrome使っておけば大丈夫か…… (スコア:0)
ただしWin10限定。
パッチ遅いのは古いwindows用のも必要だからかな?
Re: (スコア:0)
そのあたりでしょう、ただこのペースで遅いはちょっと酷かな
ほかのバージョンの動作確認全部してくのはかなり面倒ですし
vista,7,8,8.1,10の5バージョンか…
Re: (スコア:0)
Windows 8 は 8.1 が出たことで、もうサポート切れてますね
vista も後半年切りましたし、それが切れれば大きくは 3 バージョン?
ただ Windows 10 は 1 バージョンとして捉えていいのかわからないぐらい、よくわからない…
Re: (スコア:0)
10はエディションとビルド番号を併記するしかないと思う…
Re: (スコア:0)
Win32k system call disable policyはあるのになんで8.1上のChromeはダメなんだろう
相互確証破壊 (スコア:0)
> Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。
Microsoftも携帯通信機器用競合OSに対し、同様なポリシーを導入すれば?
特に機器屋・キャリアの都合も含め、アップデートの行われない携帯通信機器用競合OSに対しても。
Re: (スコア:0)
Googleは既に実践してるから、痛くも痒くもない。
Appleはどうなんだろ、似たようなポリシーありそうだけど。
Tizenは……。
Re: (スコア:0)
構造的にアップデートし難いOS(=機器屋・キャリアがソースから改造して使い物にするモノリシックOS)の、基本構造を責められても、Googleは既に実践してるから痛くも痒くもない、ですか。
Re: (スコア:0)
だって、
> 開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表する
ってポリシーだもん。
機器屋・キャリアがパッチを配布するかどうかなんて、一切関係ない。
Re: (スコア:0)
GoogleはセキュリティアップデートやOSバージョンの追従をしないメーカーを晒し上げているし、
もともとメーカーやキャリアが勝手に独自実装するせいでリリースが遅れることを良く思っていない。
勝手に独自実装するのは構わないが、常にAOSPの更新頻度に合わせるか、
それが無理なら最初からAOSPのまま最低限のドライバ等を追加したものを
インストールしてハード販売すればいいとGoogleは思っている。
消費者も、Androidを中心としたGoogleが提供するサービスを利用したいだけで、
メーカーやキャリアが追加した独自実装なんて微塵も望んでいない。
Googleの作り上げたプラットフォーム上でハードウェアビジネスをしたいなら、
Googleのルールを守れ、守れないなら独自でOS作ってハード売りなってこと。
Re: (スコア:0)
ググルは基本広告屋なので、広告配信可能なら互換性もセキュリティーも個人情報保護もどうでも良いだからね。
泥も場合によっては即ポイ捨てするよ。
が、MSはソフト屋なので同じ手は取れんだろ。
やるなら広告ブロックだけど、他も巻き込むんだよなあ。。
実は攻撃緩和する対策してましたってことは… (スコア:0)
Microsoftの中の人は、なんかこれ危ないんじゃないのって気づいてたってことかな…
Re: (スコア:0)
まあサンドボックスを迂回できる脆弱性が仮にあるとすればそれは致命的な事態を引き起こすわけで。
ありうるならサンドボックスに問題があっても問題が起きないようにすべきではある。
Re: (スコア:0)
Vista以降のWindowsはずっと多層防御の考え方で作られています。
攻撃されてから対処するだけでなく、未知の攻撃に対して被害を緩和できるように設計しておく。
Re: (スコア:0)
その辺の思想が如実に現れてるのがEMETな訳だしね。ただ、EMETまでやるとMSのアプリとも相性問題を起こすこともあったし、今のMSはEMET機能の多くの部分はWin10に標準搭載されたとして、特には利用を推奨していないけど…。
7日って… (スコア:0)
既に攻撃が実行されているとは言え、わずか1週間で公表って…
NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。
Re: (スコア:0)
何週間か経ってから、「だいぶ前に攻撃があることを確認してたけど、修正間に合わなかったんで
隠してました!その間皆さんのPCは攻撃され放題だったけど、知ったこっちゃありませ~ん!」て
感じに対応した方が良かった?
Re: (スコア:0)
それなら即時公開で良いのでは。
1週間攻撃され放題たっだのでしょう?
Re: (スコア:0)
「Googleが気付いてから1週間」なので、攻撃され放題だったのは1週間では済まないと思われ。
確かに即時公開でも良いような気がする。
一応MSの顔を立てるために、MSからの公表を待ってた、とかなのかな?
Re: (スコア:0)
単に自社の穴を即時公開されたくないからでは。
他社の案件で1週間待ったからこれより早く公開されたら非難できる余地がある。
Re: (スコア:0)
そもそも穴なので、たとえ緩和策でも対策があるなら公開が遅くて会社の得になることはない
できれば他社の顔を潰さない形かつ可能な限り早く公開するのが業界の利益になる
遅らせると信用を失うし反社会的組織の資金源になる
おしりからミミズが出てきたYO (スコア:0)
とんでもない脆弱性であってもマイナーであればあまり脅威ではないときもある
メジャーになると最悪
Re: (スコア:0)
まず、この脆弱性の前に使われるFlashの脆弱性は修正パッチリリース済み。
なので、確認されている攻撃に対する緩和策は施されていると考えていい。
そのうえでGoogleが修正準備中のWindows側の脆弱性を公表したってことは、全世界の悪意のハッカーたちに対して、修正される前にFlash以外の手法を使ってこのWindowsの脆弱性を突く攻撃を考えてくれたまえ、って訴えかけたことになるね。
ほんと、やり方が厭らしい。
Re: (スコア:0)
昔90日だった気がするぞ。短くなってる。
Re: (スコア:0)
これかな?
Google、未解決の脆弱性情報の公開に「猶予期間」設定 Microsoftの批判受け
http://www.itmedia.co.jp/enterprise/articles/1502/16/news038.html [itmedia.co.jp]
アドバイザリが未公開→7日、パッチ未提供→90日、ということだろうか?
Re: (スコア:0)
対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。
他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。
Re:7日って… (スコア:1)
真の目的については賛同しないけど
重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも
Re: (スコア:0)
既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。
それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。
Re: (スコア:0)
公開された情報で被害を抑えられるユーザよりも、
公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。
実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。
ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…
10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。
ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、
7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。
Re: (スコア:0)
すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。
エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる
低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。
しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。
つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。
Googleが脆弱性を公表したことでそれがどうなるか。
元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。
被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。
果たしてどちらが正しいだろうか。
Re: (スコア:0)
防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。
企業では未だにXPが現役で稼働しているところも結構あるし、
脆弱性が出ようが何しようが動く限り古い言語バージョンや
フレームワーク使い続けるのは珍しくない。
Re: (スコア:0)
ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。
攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。
被害リスクの方が大きいだろうな……
なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。
全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。
「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。
一方、Windows2000には (スコア:0)
Win2000向けに2010年9月に謎のカーネル更新がこっそりリリースされていることが判明 [livedoor.jp]
Re: (スコア:0)
このページは存在しないか、すでに削除されています。
なんか最近 (スコア:0)
Googleの方がMicrosoftよりもよっぽど悪の枢軸な気がしてきた
Re:なんか最近 (スコア:1)
というか、そもそもイノベーションこそ至上で善悪に頓着がないように思える。
それがPersonFinderのように光ることもあればStreetViewのようにプライバシー問題を起こすこともある。
Re: (スコア:0)
最近?
Re: (スコア:0)
ここ最近、10年くらいだよね
Re: (スコア:0)
Don't say evil!(邪悪って言うな)
Re: (スコア:0)
Re: (スコア:0)
Googleは敵にはなり得るが普遍的な意味での悪とは言えない。だが無邪気に振りかざされる正義に苦しむ人もいる。
Re: (スコア:0)
Googleのモットーの一つにDon't be Evil.(邪悪になるな)ってのある
わざわざそう言わなきゃならないくらいに邪悪な自覚はあるようだ
MicrosoftもAndroidのゼロデイ脆弱性を探して公開すべき (スコア:0)
と思ったら Dirty Cow [dirtycow.ninja] があった・・
Re: (スコア:0)
理解できないなら黙ってればいいのに
Re: (スコア:0)
別ACだけど、なんか俺の知らないネタだったらごめん。
最初のGoogleえげつないってのは意味わからんし、その後のブーメランも意味分からん。
どういう事?