Windowsの未修正脆弱性に対するサードパーティのパッチが公開される 31
ストーリー by headless
微妙 部門より
微妙 部門より
Microsoftが2月の月例更新を3月に延期する一方で、GoogleのProject ZeroがWindowsの未修正脆弱性を2月14日 (CVE-2017-0038)と23日 (CVE-2017-0037)に相次いで公表した。これらの脆弱性のうち、CVE-2017-0038に対するパッチをACROS Securityの0patch Teamが公開している(0patch Blogの記事、
BetaNewsの記事、
Softpediaの記事)。
CVE-2017-0038はgdi32.dllのバグにより、リモートの攻撃者が細工したEMFイメージファイルを使用してプロセスのヒープメモリーから情報を取得できるというもの。バグは昨年3月に発見され、Microsoftは6月の月例更新で修正したものの、修正が不完全だったという。そのため、Project Zeroでは11月にMicrosoftへ再度通知したが、90日間の期限が過ぎたとして2月14日に公表した。
Project Zeroで公開されているPoC(poc.emf)は1×1ピクセルのビットマップを含むが、DIBデータは16×16ピクセルに改変されている。影響を受けるシステムのInternet Explorer 11に画像をドロップすると、255ピクセル分がヒープ内のジャンクデータに基づいて描画されることになる。
0patchのパッチは、0patch.comで公開されている「0patch Agent」(ベータ版)をインストールして実行することで適用できる。ただし、利用にはユーザー登録が必要となる。0patch Agentは常駐し、パッチ適用の有無も切り替え可能だ。パッチを適用した状態では空のイメージが描画され、エクスプロイトをブロックしたことがポップアップ表示される。
パッチが提供されるのは、Windows 7および64ビット版のWindows 8.1/10のみ。なお、パッチは脆弱性のあるバージョンのDLLに対してのみ適用され、Microsoftから公式の修正プログラムがリリースされれば適用されなくなるとのこと。
ちなみに、CVE-2017-0037はMicrosoft EdgeとInternet Explorer 11に存在する型の取り違えの脆弱性だ。この脆弱性を利用すると、リモートの攻撃者は細工したCSSとJavaScriptにより、任意コードの実行が可能になるとのこと。
CVE-2017-0038はgdi32.dllのバグにより、リモートの攻撃者が細工したEMFイメージファイルを使用してプロセスのヒープメモリーから情報を取得できるというもの。バグは昨年3月に発見され、Microsoftは6月の月例更新で修正したものの、修正が不完全だったという。そのため、Project Zeroでは11月にMicrosoftへ再度通知したが、90日間の期限が過ぎたとして2月14日に公表した。
Project Zeroで公開されているPoC(poc.emf)は1×1ピクセルのビットマップを含むが、DIBデータは16×16ピクセルに改変されている。影響を受けるシステムのInternet Explorer 11に画像をドロップすると、255ピクセル分がヒープ内のジャンクデータに基づいて描画されることになる。
0patchのパッチは、0patch.comで公開されている「0patch Agent」(ベータ版)をインストールして実行することで適用できる。ただし、利用にはユーザー登録が必要となる。0patch Agentは常駐し、パッチ適用の有無も切り替え可能だ。パッチを適用した状態では空のイメージが描画され、エクスプロイトをブロックしたことがポップアップ表示される。
パッチが提供されるのは、Windows 7および64ビット版のWindows 8.1/10のみ。なお、パッチは脆弱性のあるバージョンのDLLに対してのみ適用され、Microsoftから公式の修正プログラムがリリースされれば適用されなくなるとのこと。
ちなみに、CVE-2017-0037はMicrosoft EdgeとInternet Explorer 11に存在する型の取り違えの脆弱性だ。この脆弱性を利用すると、リモートの攻撃者は細工したCSSとJavaScriptにより、任意コードの実行が可能になるとのこと。
他力本願 (スコア:0)
マイクロソフトよりサーパーティーの方が技術が上ですからね。
マイクロソフトはできないOSの手直しで忙しいでしょうし
これでいいんじゃないですか?
Re: (スコア:0)
ええ……本気で言ってる?
Re: (スコア:0)
どう見ても近年の技術力低下甚だしいでしょう
人員削減の余波ですかね
Re: (スコア:0)
低下するにはそれ以前が今より高くなければならんのだけど、そうなの?
Re: (スコア:0)
社長が変わる前のウィンドウズアップデートは今より多少マシだった気がする。
Re: (スコア:0)
Me や Vista の方がマシなくらいだからな
Re: (スコア:0)
いやいや……Meは有り得ないでしょ。絶対Me使った事ないでしょ。
何なんだろう、最近の大企業を下に見る風潮は。
Re: (スコア:0)
Vista以下もありえないな。Vistaはパッチの適用でよくなっていくのを実感できたからな。
特にサービスパックがやってきた日などは感動的だった。
Re: (スコア:0)
「Windows Defenderで充分」
Re: (スコア:0)
ウイルス駆除ソフト作ってる人たちのプログラミングレベルが高い根拠って別にないよね
Re: (スコア:0)
確実に低いでしょ。システムが不安定になるもの。
Re: (スコア:0)
の割には何か不満を抱えてそうなコメントだな。俺はどっちでもいいけど。
Re: (スコア:0)
技術とやらを客観的に比較した図なり表を出してください。
出せないのであればあなたの知能が低下して居るのではないかと愚考します。
立場が違えば対応は異なります。
この修正パッチを作った会社にとってのベストがこれなのであってMSは他にも評価するべき場所があって
ベストな対応を行おうたけに暫定的なベターな対応をしただけだと思いますが。
それに対して名を売るためにこういった修正パッチを出したと考えた方がいいのではばいでしょうか。
Re: (スコア:0)
古いものをいろいろ抱えているし、Windows 10以降テストが甘い感じはあるし。
何よりInsider Previewではバグだらけだったものを一二カ月で製品に出してきたりしてると、バグは残ってるんだろうなぁとは感じる。
自分は被害にあった事はDixim周りくらいしかないからわからんが。
Re: (スコア:0)
オレ様がその時思った通りに動くのが正しい、のタイプの人かと思いますよ。
大抵他OSの名前使って貶める。だが名前出した奴の事もも基本理解してない。
マトモなのに会ったことが有りませんね。
WindowsXP2017 (スコア:0)
中国だと、Kingsoftとかが勝手でセキュリティーパッチを当てたWindowsXPをXP2016とか言って販売しているし
この流れが続くと、Google謹製Windows7 2021とかが出るんでしょうかね
Re: (スコア:0)
GoogleにいちからOSつくることなんてできんよ。
Re: (スコア:0)
そしてヤマト発進
Re: (スコア:0)
IEの戦士たち
Re: (スコア:0)
windows7は商標登録されているだろうから 誤認されない程度に似た名前なんだろうな
Re: (スコア:0)
「謹製」
Re: (スコア:0)
<謹製の意味>
「相手を敬い、失礼がないよう心をこめて作る・作ったもの」
という意味で、主に食品系に使われる言葉です。
「Google謹製の○○」と会社名に付ける使い方も稀に見ますが、これはちょっとおかしい。
「自家製の」という意味で使っているのだと思いますが、
相手が謹製と言っていない場合は謹製と言わないほうが無難です。
「○○の謹製ハム」など商品名であれば問題ないと思います。
Re: (スコア:0)
謹製警察いつもご苦労様です!
Re: (スコア:0)
「Google謹製Windows7 2021」と会社名に付ける使い方も稀に見ますが、これはちょっとおかしい。
Re: (スコア:0)
【デジタルネイティブあるある】
・「~中」という言い回しには必ず「絶賛」と付ける。
・メーカー製ならば「純正」でなく「謹製」と付ける。
Re: (スコア:0)
「日本語苦手な人あるある」だろ
Re: (スコア:0)
デジタルネイティブ世代は日本語力が低下した世代でもあるし
そう間違っちゃいないとも言える。
別に相関性があるとか言うつもりはない。
世代的な傾向の話。
日本語が母国語じゃない人は
ちゃんと書けるか言い回しが出てこないかの二択。
一から覚えてたら変に覚える方が難しい。
Re: (スコア:0)
日本語が母国語じゃない人は
ちゃんと書けるか言い回しが出てこないかの二択。
一から覚えてたら変に覚える方が難しい。
デジタルネイティブ世代ならレディットで英語を覚える日本人とかにちゃんねるで日本語を覚える外人はいるかも。
Re: (スコア:0)
「日本語苦手な人」はそもそも語彙がありません。
デジタルネイティブの大きな特徴として、
・本来の用法より先にネットスラングのほうを字面で憶える
・誤用を指摘してくれるようなリアルの年上と会話接点が無い
がありますね。
捏造を「ていぞう」と憶えても打ち込めばきちんと「提造」が出たり、
スマホの入力補完に語彙をミスリードされることも多そうですね。
Re: (スコア:0)
でんでん
Re: (スコア:0)
「提造」とか初めて知ったわ・・
日本語はここまで崩壊してたのか。