5年以上前から存在が分かっているWindowsのDLLのハイジャック脆弱性、JPCERTの放置が原因でJVNに掲載されていないことが判明

Windows のDLLのハイジャック脆弱性 攻撃コードの改良で範囲拡大できることが判明
このセキュリティホールについてマイクロソフトセキュリティセンターから公式の回答が来たので報告します・ω・

ちなみに、Vivaldiの技術者さんとも情報交換したんですが、どうやらこの脆弱性、開発者は5年以上前から把握してるのではないかと言う話でした。

メールの中身は公開できませんが、概要は以下の通り。

マイクロソフトは DLL Hijacking
の脆弱性について 2つの種類を区分わけしている

1) Application Directory
の問題
2)
Current Working Directory
の問題

1 は、アプリケーションと同じフォルダのDLLに対して、ハイジャックが行えるケース
2 は、WORD やエクセル、HTMLなどのファイルに対して、ハイジャックできるケース

マイクロソフトでは、2の脆弱性を 重視していて、修正や、セキュリティ情報を掲載しているが、1の脆弱性については、影響が限定的だと考えているため(本当にそう?)、修正や案内を行わないとのこと

回答が半年以上なかった理由として、

連絡が 私→IPA→ JPCERT → Microsoft → JPCERT で止まっていたからとのこと。

JPCERTが仕事してないないだけでした

で、マイクロソフトからはこの脆弱性については、問い合わせが多いため、 
JPCERTから JVN で情報公開されるべき案件である
とのコメントもいただきました。

やっぱり、 JPCERTが仕事してないないだけでした


単に、脆弱性のある実行ファイルについて考えるなら、リスク少ないと思うんですが、ターゲットをユーザーのダウンロードフォルダに絞れば、脆弱性のある、プログラムのどれかを起動してもらえばいいので、影響が限定的と言うことはないと思うんですがねぇ…。
同程度のリスクはあると思うんですが。

そもそも、マイクロソフトさんが配布しているインストーラーはほとんど、全部 脆弱性のある実行ファイルなんですが…。

よし、決めた ・ω・

今度のコミケは、この脆弱性に関する セキュリティ本を作ろう(笑)!

多分、金曜日 東 - た 16bです ・ω・

おまけ
JVNDB-2017-000145 - JVN iPedia - 脆弱性対策情報データベース
この脆弱性に関連して、報告者として情報掲載されました。(最初に報告した脆弱性直ってるんですが、32bit限定で見つかった脆弱性がまだ直ってない模様…修正できたか確認って来ないものなんですね)

おすすめ

4件のフィードバック

  1. 名無し より:

    いい表現じゃありませんが、やはり「お役所体質」なんでしょうね。
    事の重大さに気づかない限り、誰かが被害を被らない限りは動かない、動きたくないのかもしれませんが。
    こんな国でオリンピックするんですよね。security対策はどこも頭抱えてるのに、中心組織がこんなことでどうするんでしょね?

  2. 名無し より:

    いい表現じゃありませんが、やはり「お役所体質」なんでしょうね。
    事の重大さに気づかない限り、誰かが被害を被らない限りは動かない、動きたくないのかもしれませんが。
    こんな国でオリンピックするんですよね。security対策はどこも頭抱えてるのに、中心組織がこんなことでどうするんでしょね?

  3. Dibya より:

    Microsoft had no work rather putting craps

  4. Dibya より:

    Microsoft had no work rather putting craps

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です