パスワードを忘れた? アカウント作成
13297559 story
バグ

Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 15

ストーリー by hylom
色々な修正 部門より
headless曰く、

先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ(Issue 1260Softpedia)。

Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。

このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。

この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258CVE-2017-8540)、Issue 1259(タレこみ時点では未公開)Issue 1261CVE-2017-8535853685378538)なども修正されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月01日 18時27分 (#3220639)

    穴がないに越したことはないが
    OS殺しちゃう他社製よりはまし。。。
    と思ったが拡散させるより
    死んでくれるほうがいいのか。。。

  • by Anonymous Coward on 2017年06月01日 19時51分 (#3220660)

    一生懸命がんばっているんだけど、余計な穴を作っているだけのウイルス対策ソフトに意味はあるのでしょうか?

    ウイルス対策ソフトによる電力消費は原発何個分だろうか。

    • by Anonymous Coward

      > 余計な穴を作っているだけ
      一事が万事の極論バカにはこの世の全てに意味が無し

    • by Anonymous Coward

      他人の目が有効な事はままある。
      外部の目と判断があるからこの手のニュースも出るので。

      自分の目と価値観が絶対って思い込みは、そりゃもう宗教だぞ。

  • by Anonymous Coward on 2017年06月01日 20時19分 (#3220674)

    マルウェア対策専用にx86エミュレータなんか搭載して裏で動作しているのか。
    驚いた。
    こんなものが裏で走っていれば、重いわけだ。
    Windowsもすさまじく巨大化、複雑化しているんだねぇ。
    Atom搭載のタブレットPCなんかでもこんなのが動作しているのかな?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...