5年以上前から存在が分かっているWindowsのDLLのハイジャック脆弱性、JPCERTの放置が原因でJVNに掲載されていないことが判明
Windows のDLLのハイジャック脆弱性 攻撃コードの改良で範囲拡大できることが判明
このセキュリティホールについてマイクロソフトセキュリティセンターから公式の回答が来たので報告します・ω・
ちなみに、Vivaldiの技術者さんとも情報交換したんですが、どうやらこの脆弱性、開発者は5年以上前から把握してるのではないかと言う話でした。
メールの中身は公開できませんが、概要は以下の通り。
マイクロソフトは DLL Hijacking
の脆弱性について 2つの種類を区分わけしている
1) Application Directory
の問題
2) Current Working Directory
の問題
1 は、アプリケーションと同じフォルダのDLLに対して、ハイジャックが行えるケース
2 は、WORD やエクセル、HTMLなどのファイルに対して、ハイジャックできるケース
マイクロソフトでは、2の脆弱性を 重視していて、修正や、セキュリティ情報を掲載しているが、1の脆弱性については、影響が限定的だと考えているため(本当にそう?)、修正や案内を行わないとのこと
回答が半年以上なかった理由として、
連絡が 私→IPA→ JPCERT → Microsoft → JPCERT で止まっていたからとのこと。
JPCERTが仕事してないないだけでした
で、マイクロソフトからはこの脆弱性については、問い合わせが多いため、 JPCERTから JVN で情報公開されるべき案件である
とのコメントもいただきました。
やっぱり、 JPCERTが仕事してないないだけでした
単に、脆弱性のある実行ファイルについて考えるなら、リスク少ないと思うんですが、ターゲットをユーザーのダウンロードフォルダに絞れば、脆弱性のある、プログラムのどれかを起動してもらえばいいので、影響が限定的と言うことはないと思うんですがねぇ…。
同程度のリスクはあると思うんですが。
そもそも、マイクロソフトさんが配布しているインストーラーはほとんど、全部 脆弱性のある実行ファイルなんですが…。
よし、決めた ・ω・
今度のコミケは、この脆弱性に関する セキュリティ本を作ろう(笑)!
多分、金曜日 東 - た 16bです ・ω・
おまけ
JVNDB-2017-000145 - JVN iPedia - 脆弱性対策情報データベース
この脆弱性に関連して、報告者として情報掲載されました。(最初に報告した脆弱性直ってるんですが、32bit限定で見つかった脆弱性がまだ直ってない模様…修正できたか確認って来ないものなんですね)
いい表現じゃありませんが、やはり「お役所体質」なんでしょうね。
事の重大さに気づかない限り、誰かが被害を被らない限りは動かない、動きたくないのかもしれませんが。
こんな国でオリンピックするんですよね。security対策はどこも頭抱えてるのに、中心組織がこんなことでどうするんでしょね?
いい表現じゃありませんが、やはり「お役所体質」なんでしょうね。
事の重大さに気づかない限り、誰かが被害を被らない限りは動かない、動きたくないのかもしれませんが。
こんな国でオリンピックするんですよね。security対策はどこも頭抱えてるのに、中心組織がこんなことでどうするんでしょね?
Microsoft had no work rather putting craps
Microsoft had no work rather putting craps