Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 15
色々な修正 部門より
先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ(Issue 1260、Softpedia)。
Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。
このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。
この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258(CVE-2017-8540)、Issue 1259(タレこみ時点では未公開)、Issue 1261(CVE-2017-8535、8536、8537、8538)なども修正されている。
ふむ (スコア:0)
穴がないに越したことはないが
OS殺しちゃう他社製よりはまし。。。
と思ったが拡散させるより
死んでくれるほうがいいのか。。。
Re: (スコア:0)
拡散させるより死ぬ…いったい誰のことなんだ
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/ [gigazine.net]
無能な働き者 (スコア:0)
一生懸命がんばっているんだけど、余計な穴を作っているだけのウイルス対策ソフトに意味はあるのでしょうか?
ウイルス対策ソフトによる電力消費は原発何個分だろうか。
Re: (スコア:0)
> 余計な穴を作っているだけ
一事が万事の極論バカにはこの世の全てに意味が無し
Re: (スコア:0)
他人の目が有効な事はままある。
外部の目と判断があるからこの手のニュースも出るので。
自分の目と価値観が絶対って思い込みは、そりゃもう宗教だぞ。
今時のWindowsは・・・ (スコア:0)
マルウェア対策専用にx86エミュレータなんか搭載して裏で動作しているのか。
驚いた。
こんなものが裏で走っていれば、重いわけだ。
Windowsもすさまじく巨大化、複雑化しているんだねぇ。
Atom搭載のタブレットPCなんかでもこんなのが動作しているのかな?
Re:今時のWindowsは・・・ (スコア:2, おもしろおかしい)
> Windowsもすさまじく巨大化、複雑化しているんだねぇ。
なんともフレッシュな感じを受けた。
おいちゃんは95あたりからそういう印象だったので...
Re:今時のWindowsは・・・ (スコア:1)
> おいちゃんは95あたりからそういう印象だったので...
じいちゃんはプログラムが .COM ファイルに収まらなくなったあたりから
そういう印象だったので...
「.EXEファイル おっきくて 嫌い!!」
Re: (スコア:0)
Windows Defenderはサードパーティーのゴミみたいなアンチウィルスに比べれば圧倒的に軽いんですがそれは
Re: (スコア:0)
その話題前回のストーリーでもうやった [security.srad.jp]から。
Re:前回の修正のとき (スコア:1)
このコメントの意味を誰か解説して。
Re: (スコア:0)
触れてはならぬ。無理に理解を求めれば己も狂気に堕ちるぞ。
Re:前回の修正のとき (スコア:1)
Re: (スコア:0)
おっしゃるとおりです。やっぱりアップルが最高ですね。