パスワードを忘れた? アカウント作成
13177239 story
Windows

Windowsの未修正脆弱性に対するサードパーティのパッチが公開される 31

ストーリー by headless
微妙 部門より
Microsoftが2月の月例更新を3月に延期する一方で、GoogleのProject ZeroがWindowsの未修正脆弱性を2月14日 (CVE-2017-0038)と23日 (CVE-2017-0037)に相次いで公表した。これらの脆弱性のうち、CVE-2017-0038に対するパッチをACROS Securityの0patch Teamが公開している(0patch Blogの記事BetaNewsの記事Softpediaの記事)。

CVE-2017-0038はgdi32.dllのバグにより、リモートの攻撃者が細工したEMFイメージファイルを使用してプロセスのヒープメモリーから情報を取得できるというもの。バグは昨年3月に発見され、Microsoftは6月の月例更新で修正したものの、修正が不完全だったという。そのため、Project Zeroでは11月にMicrosoftへ再度通知したが、90日間の期限が過ぎたとして2月14日に公表した。

Project Zeroで公開されているPoC(poc.emf)は1×1ピクセルのビットマップを含むが、DIBデータは16×16ピクセルに改変されている。影響を受けるシステムのInternet Explorer 11に画像をドロップすると、255ピクセル分がヒープ内のジャンクデータに基づいて描画されることになる。

0patchのパッチは、0patch.comで公開されている「0patch Agent」(ベータ版)をインストールして実行することで適用できる。ただし、利用にはユーザー登録が必要となる。0patch Agentは常駐し、パッチ適用の有無も切り替え可能だ。パッチを適用した状態では空のイメージが描画され、エクスプロイトをブロックしたことがポップアップ表示される。

パッチが提供されるのは、Windows 7および64ビット版のWindows 8.1/10のみ。なお、パッチは脆弱性のあるバージョンのDLLに対してのみ適用され、Microsoftから公式の修正プログラムがリリースされれば適用されなくなるとのこと。

ちなみに、CVE-2017-0037はMicrosoft EdgeとInternet Explorer 11に存在する型の取り違えの脆弱性だ。この脆弱性を利用すると、リモートの攻撃者は細工したCSSとJavaScriptにより、任意コードの実行が可能になるとのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年03月04日 19時26分 (#3170917)

    マイクロソフトよりサーパーティーの方が技術が上ですからね。
    マイクロソフトはできないOSの手直しで忙しいでしょうし

    これでいいんじゃないですか?

    • by Anonymous Coward

      ええ……本気で言ってる?

      • by Anonymous Coward

        どう見ても近年の技術力低下甚だしいでしょう
        人員削減の余波ですかね

        • by Anonymous Coward

          低下するにはそれ以前が今より高くなければならんのだけど、そうなの?

          • by Anonymous Coward

            社長が変わる前のウィンドウズアップデートは今より多少マシだった気がする。

          • by Anonymous Coward

            Me や Vista の方がマシなくらいだからな

            • by Anonymous Coward

              いやいや……Meは有り得ないでしょ。絶対Me使った事ないでしょ。
              何なんだろう、最近の大企業を下に見る風潮は。

              • by Anonymous Coward

                Vista以下もありえないな。Vistaはパッチの適用でよくなっていくのを実感できたからな。
                特にサービスパックがやってきた日などは感動的だった。

    • by Anonymous Coward

      「Windows Defenderで充分」

      • by Anonymous Coward

        ウイルス駆除ソフト作ってる人たちのプログラミングレベルが高い根拠って別にないよね

        • by Anonymous Coward

          確実に低いでしょ。システムが不安定になるもの。

    • by Anonymous Coward

      の割には何か不満を抱えてそうなコメントだな。俺はどっちでもいいけど。

    • by Anonymous Coward

      技術とやらを客観的に比較した図なり表を出してください。
      出せないのであればあなたの知能が低下して居るのではないかと愚考します。

      立場が違えば対応は異なります。
      この修正パッチを作った会社にとってのベストがこれなのであってMSは他にも評価するべき場所があって
      ベストな対応を行おうたけに暫定的なベターな対応をしただけだと思いますが。
      それに対して名を売るためにこういった修正パッチを出したと考えた方がいいのではばいでしょうか。

    • by Anonymous Coward
      開発する側としては全く賛同できない話だが、エンドユーザーにとってはそう思えるのかもね。
      古いものをいろいろ抱えているし、Windows 10以降テストが甘い感じはあるし。
      何よりInsider Previewではバグだらけだったものを一二カ月で製品に出してきたりしてると、バグは残ってるんだろうなぁとは感じる。
      自分は被害にあった事はDixim周りくらいしかないからわからんが。
      • by Anonymous Coward

        オレ様がその時思った通りに動くのが正しい、のタイプの人かと思いますよ。
        大抵他OSの名前使って貶める。だが名前出した奴の事もも基本理解してない。

        マトモなのに会ったことが有りませんね。

  • by Anonymous Coward on 2017年03月04日 21時15分 (#3170953)

    中国だと、Kingsoftとかが勝手でセキュリティーパッチを当てたWindowsXPをXP2016とか言って販売しているし
    この流れが続くと、Google謹製Windows7 2021とかが出るんでしょうかね

    • by Anonymous Coward

      GoogleにいちからOSつくることなんてできんよ。

    • by Anonymous Coward

      そしてヤマト発進

    • by Anonymous Coward

      windows7は商標登録されているだろうから 誤認されない程度に似た名前なんだろうな

    • by Anonymous Coward

      「謹製」

    • by Anonymous Coward

      <謹製の意味>
      「相手を敬い、失礼がないよう心をこめて作る・作ったもの」
      という意味で、主に食品系に使われる言葉です。
      「Google謹製の○○」と会社名に付ける使い方も稀に見ますが、これはちょっとおかしい。
      「自家製の」という意味で使っているのだと思いますが、
      相手が謹製と言っていない場合は謹製と言わないほうが無難です。
      「○○の謹製ハム」など商品名であれば問題ないと思います。

      • by Anonymous Coward

        謹製警察いつもご苦労様です!

    • by Anonymous Coward

      「Google謹製Windows7 2021」と会社名に付ける使い方も稀に見ますが、これはちょっとおかしい。

      • by Anonymous Coward

        【デジタルネイティブあるある】
         ・「~中」という言い回しには必ず「絶賛」と付ける。
         ・メーカー製ならば「純正」でなく「謹製」と付ける。

        • by Anonymous Coward

          「日本語苦手な人あるある」だろ

          • by Anonymous Coward

            デジタルネイティブ世代は日本語力が低下した世代でもあるし
            そう間違っちゃいないとも言える。

            別に相関性があるとか言うつもりはない。
            世代的な傾向の話。

            日本語が母国語じゃない人は
            ちゃんと書けるか言い回しが出てこないかの二択。
            一から覚えてたら変に覚える方が難しい。

            • by Anonymous Coward

              日本語が母国語じゃない人は
              ちゃんと書けるか言い回しが出てこないかの二択。
              一から覚えてたら変に覚える方が難しい。

              デジタルネイティブ世代ならレディットで英語を覚える日本人とかにちゃんねるで日本語を覚える外人はいるかも。

          • by Anonymous Coward

            「日本語苦手な人」はそもそも語彙がありません。

            デジタルネイティブの大きな特徴として、
            ・本来の用法より先にネットスラングのほうを字面で憶える
            ・誤用を指摘してくれるようなリアルの年上と会話接点が無い
            がありますね。

            捏造を「ていぞう」と憶えても打ち込めばきちんと「提造」が出たり、
            スマホの入力補完に語彙をミスリードされることも多そうですね。

            • by Anonymous Coward

              でんでん

            • by Anonymous Coward

              「提造」とか初めて知ったわ・・

              日本語はここまで崩壊してたのか。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...