パスワードを忘れた? アカウント作成
12970829 story
Google

Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 61

ストーリー by headless
批判 部門より
Googleは10月31日、ローカルでの特権昇格が可能となるWindowsカーネルのゼロデイ脆弱性を公表した。Microsoftでは11月8日にパッチの提供開始を予定しており、それを待たずに脆弱性を公表したGoogleを批判している(Google Security Blogの記事Microsoft Malware Protection Centerのブログ記事The Guardianの記事Ars Technicaの記事)。

脆弱性はwin32k.sysに存在するもので、サンドボックス迂回が可能になる。Googleではこの脆弱性とFlash Playerの脆弱性を組み合わせたスピア型フィッシングキャンペーンを検出し、10月21日にMicrosoftとAdobeへ通知している。MicrosoftはGoogleおよびAdobeと協力して攻撃キャンペーンの調査やパッチの作成を進めており、Adobeは脆弱性(APSB16-36)に対処するFlash Playerの更新プログラムを10月26日に公開した。しかし、GoogleはWindowsの更新プログラム提供開始を前に、通知から7日以上経過したとして脆弱性を公表してしまう。Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。

確認されている攻撃は、MicrosoftがSTRONTIUMと呼ぶグループが行っているもので、初めにFlashの脆弱性を悪用してブラウザープロセスの制御を奪う必要がある。そのため、攻撃はFlashを最新版に更新することで攻撃は回避できるようだ。STRONTIUMはATP28やFancy Bearなどとも呼ばれ、米民主党全国委員会(DNC)へのサイバー攻撃を行ったグループとみられている。

今回公表されたwin32k.sysの脆弱性はWindows Vista~Windows 10まで存在するが、Windows 10 Anniversary Updateではwin32kカーネルコンポーネントに攻撃を緩和する対策が追加されており、Microsoft Edgeを使用する場合は攻撃から保護されるという。Anniversary Updateで企業向けに提供されるWindows Defender ATPでも攻撃を検出可能だ。また、Windows 10上のGoogle Chromeでは、Win32k Renderer lockdownにより、win32k.sysのシステムコールをブロックしてサンドボックス迂回を防止できるようになっているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 範囲が広かったり、現象から原因が明確でなかったりすると、8日はキツい...

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      既に攻撃が確認されてるんだから、情報公開しないとその危険性と回避策を流布できない、ってことじゃないかと。
      取り敢えず回避策をアドバイザリーとして公開しとけばOKなんじゃないかな?

      • なんですけど、それが想定原因や現状からの推定で、間違いや穴があったときにかなり叩かれますから...ある程度の確度が欲くなりそう

        # 初期アドバイザリーはたしかに出してほしいけど。

        --
        M-FalconSky (暑いか寒い)
        親コメント
      • by Anonymous Coward on 2016年11月04日 9時17分 (#3108459)

        Googleの言い分としては、その回避策を出さなかったから公表するということなので、道理が通ってないよね。
        回避策もないまま脆弱性の情報だけ公表したら、対策も何も、悪人へ広く悪用方法を伝授してるだけ。

        つまりGoogleのやりかたは、MS/Windowsユーザーへの嫌がらせでしかなかったんだよ。

        親コメント
    • by Anonymous Coward

      通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシー

      初期公開のアドバイザリーが
      完璧でなければならないなんてことはないんで
      無言で精進などせず
      「報告ありがとう。アドバイザリー公開したっす。詳細は順次更新するからちょっと待ってて」
      と7日以内に対応すればよいのでは?

      # 完璧なアドバイザリーやパッチを7日未満で用意して公開せよとは言っていない

  • by Anonymous Coward on 2016年11月03日 12時16分 (#3108137)

    ただしWin10限定。

    パッチ遅いのは古いwindows用のも必要だからかな?

    • by Anonymous Coward

      そのあたりでしょう、ただこのペースで遅いはちょっと酷かな
      ほかのバージョンの動作確認全部してくのはかなり面倒ですし
      vista,7,8,8.1,10の5バージョンか…

      • by Anonymous Coward

        Windows 8 は 8.1 が出たことで、もうサポート切れてますね
        vista も後半年切りましたし、それが切れれば大きくは 3 バージョン?

        ただ Windows 10 は 1 バージョンとして捉えていいのかわからないぐらい、よくわからない…

        • by Anonymous Coward

          10はエディションとビルド番号を併記するしかないと思う…

    • by Anonymous Coward

      Win32k system call disable policyはあるのになんで8.1上のChromeはダメなんだろう

  • by Anonymous Coward on 2016年11月03日 12時57分 (#3108166)

    > Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。

    Microsoftも携帯通信機器用競合OSに対し、同様なポリシーを導入すれば?
    特に機器屋・キャリアの都合も含め、アップデートの行われない携帯通信機器用競合OSに対しても。

    • by Anonymous Coward

      Googleは既に実践してるから、痛くも痒くもない。
      Appleはどうなんだろ、似たようなポリシーありそうだけど。
      Tizenは……。

      • by Anonymous Coward

        構造的にアップデートし難いOS(=機器屋・キャリアがソースから改造して使い物にするモノリシックOS)の、基本構造を責められても、Googleは既に実践してるから痛くも痒くもない、ですか。

        • by Anonymous Coward

          だって、

          > 開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表する

          ってポリシーだもん。
          機器屋・キャリアがパッチを配布するかどうかなんて、一切関係ない。

          • by Anonymous Coward

            GoogleはセキュリティアップデートやOSバージョンの追従をしないメーカーを晒し上げているし、
            もともとメーカーやキャリアが勝手に独自実装するせいでリリースが遅れることを良く思っていない。

            勝手に独自実装するのは構わないが、常にAOSPの更新頻度に合わせるか、
            それが無理なら最初からAOSPのまま最低限のドライバ等を追加したものを
            インストールしてハード販売すればいいとGoogleは思っている。

            消費者も、Androidを中心としたGoogleが提供するサービスを利用したいだけで、
            メーカーやキャリアが追加した独自実装なんて微塵も望んでいない。

            Googleの作り上げたプラットフォーム上でハードウェアビジネスをしたいなら、
            Googleのルールを守れ、守れないなら独自でOS作ってハード売りなってこと。

    • by Anonymous Coward

      ググルは基本広告屋なので、広告配信可能なら互換性もセキュリティーも個人情報保護もどうでも良いだからね。
      泥も場合によっては即ポイ捨てするよ。

      が、MSはソフト屋なので同じ手は取れんだろ。
      やるなら広告ブロックだけど、他も巻き込むんだよなあ。。

  • by Anonymous Coward on 2016年11月03日 13時02分 (#3108170)

    Microsoftの中の人は、なんかこれ危ないんじゃないのって気づいてたってことかな…

    • by Anonymous Coward

      まあサンドボックスを迂回できる脆弱性が仮にあるとすればそれは致命的な事態を引き起こすわけで。
      ありうるならサンドボックスに問題があっても問題が起きないようにすべきではある。

    • by Anonymous Coward

      Vista以降のWindowsはずっと多層防御の考え方で作られています。
      攻撃されてから対処するだけでなく、未知の攻撃に対して被害を緩和できるように設計しておく。

      • by Anonymous Coward

        その辺の思想が如実に現れてるのがEMETな訳だしね。ただ、EMETまでやるとMSのアプリとも相性問題を起こすこともあったし、今のMSはEMET機能の多くの部分はWin10に標準搭載されたとして、特には利用を推奨していないけど…。

  • by Anonymous Coward on 2016年11月03日 13時09分 (#3108173)

    既に攻撃が実行されているとは言え、わずか1週間で公表って…
    NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。

    • by Anonymous Coward

      何週間か経ってから、「だいぶ前に攻撃があることを確認してたけど、修正間に合わなかったんで
      隠してました!その間皆さんのPCは攻撃され放題だったけど、知ったこっちゃありませ~ん!」て
      感じに対応した方が良かった?

      • by Anonymous Coward

        それなら即時公開で良いのでは。
        1週間攻撃され放題たっだのでしょう?

        • by Anonymous Coward

          「Googleが気付いてから1週間」なので、攻撃され放題だったのは1週間では済まないと思われ。
          確かに即時公開でも良いような気がする。
          一応MSの顔を立てるために、MSからの公表を待ってた、とかなのかな?

          • by Anonymous Coward

            単に自社の穴を即時公開されたくないからでは。
            他社の案件で1週間待ったからこれより早く公開されたら非難できる余地がある。

            • by Anonymous Coward

              そもそも穴なので、たとえ緩和策でも対策があるなら公開が遅くて会社の得になることはない
              できれば他社の顔を潰さない形かつ可能な限り早く公開するのが業界の利益になる
              遅らせると信用を失うし反社会的組織の資金源になる

          • とんでもない脆弱性であってもマイナーであればあまり脅威ではないときもある
            メジャーになると最悪

      • by Anonymous Coward

        まず、この脆弱性の前に使われるFlashの脆弱性は修正パッチリリース済み。
        なので、確認されている攻撃に対する緩和策は施されていると考えていい。

        そのうえでGoogleが修正準備中のWindows側の脆弱性を公表したってことは、全世界の悪意のハッカーたちに対して、修正される前にFlash以外の手法を使ってこのWindowsの脆弱性を突く攻撃を考えてくれたまえ、って訴えかけたことになるね。

        ほんと、やり方が厭らしい。

    • by Anonymous Coward

      昔90日だった気がするぞ。短くなってる。

    • by Anonymous Coward

      対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。
      他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。

      • by esuta (40045) on 2016年11月03日 16時35分 (#3108265)

        真の目的については賛同しないけど
        重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも

        親コメント
      • by Anonymous Coward

        既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。
        それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。

        • by Anonymous Coward

          公開された情報で被害を抑えられるユーザよりも、
          公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。
          実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。

          ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…
          10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。

          ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、
          7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。

      • by Anonymous Coward

        すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。
        エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる
        低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。

        しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。
        つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。

        Googleが脆弱性を公表したことでそれがどうなるか。

        元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。
        被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。

        果たしてどちらが正しいだろうか。

        • by Anonymous Coward

          防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。
          企業では未だにXPが現役で稼働しているところも結構あるし、
          脆弱性が出ようが何しようが動く限り古い言語バージョンや
          フレームワーク使い続けるのは珍しくない。

        • by Anonymous Coward

          ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。
          攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。

          被害リスクの方が大きいだろうな……

          なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。
          全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。
          「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。

    • by Anonymous Coward

      このページは存在しないか、すでに削除されています。

  • by Anonymous Coward on 2016年11月03日 16時53分 (#3108272)

    Googleの方がMicrosoftよりもよっぽど悪の枢軸な気がしてきた

    • by rin_penguin (9144) on 2016年11月04日 14時00分 (#3108577)

      というか、そもそもイノベーションこそ至上で善悪に頓着がないように思える。
      それがPersonFinderのように光ることもあればStreetViewのようにプライバシー問題を起こすこともある。

      親コメント
    • by Anonymous Coward

      最近?

      • by Anonymous Coward

        ここ最近、10年くらいだよね

    • by Anonymous Coward

      Don't say evil!(邪悪って言うな)

    • by Anonymous Coward
      勢力を持つと、独善的になり、それが他とズレが生じて悪になる。だから勢力のあるものはいつか悪になる。みたいな普遍性でもあるのじゃろうか?
    • by Anonymous Coward

      Googleは敵にはなり得るが普遍的な意味での悪とは言えない。だが無邪気に振りかざされる正義に苦しむ人もいる。

    • by Anonymous Coward

      Googleのモットーの一つにDon't be Evil.(邪悪になるな)ってのある
      わざわざそう言わなきゃならないくらいに邪悪な自覚はあるようだ

  • by Anonymous Coward on 2016年11月03日 21時27分 (#3108363)

    と思ったら Dirty Cow [dirtycow.ninja] があった・・

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...