パスワードを忘れた? アカウント作成
11680154 story
Windows

WindowsのOLEに新たな脆弱性、外部から任意のコードが実行される可能性 52

ストーリー by hylom
同じものかと思いきや違った 部門より
あるAnonymous Coward 曰く、

先日、「WindowsのOLEに脆弱性、外部から任意のコードが実行される可能性」という話題があったが、OLEにこれとは別の新たな脆弱性が発見された(マイクロソフト セキュリティ アドバイザリ 3010060)。

これは、10月14日に公開されたこのと同様、Microsoft OLE の脆弱性により、リモートでコードが実行されるというもの。メールやメッセンジャーなどのリンクや添付からユーザーに細工したOfficeファイルなどを開かせ、脆弱性を突いて任意コード実行を可能にする。すでにPowerPointを使って脆弱性を突く限定的な標的型攻撃が発生している。

今回発見された脆弱性も、Windows Server 2003を除く現在サポートされている全てのWindowsに影響するとしている(ITmediaZDNetSlashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2014年10月24日 19時21分 (#2699751) 日記

    Windows XPでも、この脆弱性は存在するのだろうか。
    『影響を受けるソフトウェア』にWindows XPは無いけど、それは既にサポート対象外だからであって...。

    • by Anonymous Coward

      前回のもそうだけど、Windows Server 2003にないことからして影響を受けない可能性が高い。
      またしてもあわてて移行したやつだけがバカを見てる

      • by miyuri (33181) on 2014年10月24日 21時44分 (#2699813) 日記

        Windows Server 2003

        思いっきり読み飛ばしていた。
        /(^o^)\

        親コメント
      • by Anonymous Coward

        クラッカーはXPなんか無視して7や8向けの悪質性の高い新手のウィルス作りに夢中だからな。
        ワンタイムパスワード突破ウィルスのパンデミックとか、どうすりゃいいのか。

  • by baldmage (45440) on 2014年10月24日 21時42分 (#2699812) 日記

    セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 [technet.com]

    UAC が有効な場合は、悪意のあるファイルを開いた際に、UAC 警告が表示されます。UAC 警告をクリックしない限り攻撃を受けません。

    • by vax730 (32985) on 2014年10月25日 7時48分 (#2699984)

       マイクロソフトの免罪符にはなるでしょうけれど、コンピュータをあまり知らない人にとって、
      クリックひとつの防御でどれだけ効果的か疑問です。研究とかあるのでしょうか。
      Windows 7で,マイクロソフトからダウンロードした書名入りのMicrosoft Security Essentialsをインストールするときにも警告がでます。
      警告に慣れっこになっている可能性があります。
      #ないよりはマシとは思います。

      親コメント
      • by Anonymous Coward on 2014年10月25日 9時59分 (#2700019)

        警告を無視するのに慣れている可能性って....
        慣れ切ってるに決まってるじゃん。
        それこそOfficeのマクロが入ってます警告だって、あんなもんが出たから何か確認しようって奴いる?
        私は一部上場企業だし、海外企業の外国人とメールや書類のやり取りをする事も多いけど、「お前の書類にマクロが入ってると出たけど、大丈夫なんだろうな?」と聞かれたことは一度もない。
        みんな確認もせず普通に開いてるよ。

        このファイルはインターネットからダウンロードされました警告だって、自分で作ったメモ程度のExcelファイルすらインターネットからダウンロードされたと警告が出るわけで、ユーザーとしては「うるさい馬鹿」としか思わない。

        親コメント
        • by Anonymous Coward

          メーカーとしては警告したんだから後は俺らの責任じゃないって言い逃れできるからつけてるだけ
          ユーザーにとっては目障りなだけでとくに安全になるわけではないです

      • by Anonymous Coward

        > 研究とかあるのでしょうか。

        私も知りたいですねぇ。
        UACに限らず、パスワード入力だって慣れてしまえば無意味。
        現状、バイオメトリクス認証ぐらいしかないんじゃないですかねぇ。

        #iPhoneのホームボタン=指紋認証というのは、秀逸なデザインだと思う。
        #パソコンで言えば、電源ボタン=指紋認証みたいなもの?
        #或いは、Enterキー=指紋認証か。

      • by Anonymous Coward

        >マイクロソフトの免罪符にはなるでしょうけれど、
        ならない。
        現状のように安全なファイルにものべつ幕無しに警告を出すようなシステムでは、慣習上警告に実質的な意味は無いとユーザーは認識している。裁判とか、法的な場所ではこの警告は意味無しと判断されるのが落ち。
        実質的な価値としては、こう言う警告が出まくってるからMSはセキュリティに真剣に取り組む企業だと頭の悪い一部の信者に思い込ませるのが関の山かな。

    • 「警告が出ますが安全なので『はい』をクリックしてください」

      --
      〜◍
      親コメント
    • by Anonymous Coward

      無効にするポリシー強制の組織があるのだが。
      何かにつけてWinバグ言いまくる。

      お前ら自身がバグだ。

  • by Anonymous Coward on 2014年10月24日 15時26分 (#2699594)
    OLE OLE 。 このコード走らせて。

    思ったよりつまんなかったので Anonymousで。
  • by Anonymous Coward on 2014年10月24日 15時38分 (#2699601)

    『パワーポイントという特殊なソフトウェア』がターゲットなら大丈夫だね!(大いなる誤解

    • 親コメはネタ発言だろうけど、ここにぶら下げ。

      パワーポイント以外では、どんなソフトが危険なのでしょうか?
      自宅にオフィス系ソフトは入れてないものの、ちょっと心配なので。

      • by Anonymous Coward

        OLE は、一般的なところでは、ExcelやWordのデータを編集可能な状態で他の文書編集アプリにコピペしたりする場合に
        内部的に利用されています。

        なので、潜在的には、Word, Excelはもちろん、一太郎とかそういうソフトでも攻撃対象にはできるんじゃないかと思います。

        • by Anonymous Coward

          OLEはIEも使ってるわけですが、真っ先に検討されるはずのIEがアドバイザリで言及されていないことから、攻撃シナリオに条件があるのでしょうね。

          • by Anonymous Coward

            プレゼンテーションモードじゃないかな。
            ファイルを開いてマクロ実行許可してる状態みたいなもんだから。

            IEは通常ゾーンだと保護モードあるし権限低かったような。

    • by Anonymous Coward

      素人が購入することは考えにくい専門的なソフト [srad.jp]なんですね、わかります。

  • by Anonymous Coward on 2014年10月24日 15時35分 (#2699598)

    一般人が利用しているHomePremiumには
    PowerPointが入っていないし
    Windows8.1ProでPowerPointViewerを利用しているPCに
    Fixitを当てようとしたら対象外となりました
    PowerPointViewerなしのWindows8.1Proも対象外です

    企業はポリシーやSUSで対応できるでしょうし
    大手広告代理店の下請けくらいしか
    喰らわんのではないでしょうかね

    もっとも確認されている攻撃がPowerPoint経由というだけで
    他の経路からOLEのこの脆弱性をつつけるなら
    話は変わってきそうですが
    現在のところ影響は小さいかも?
    という印象です

    • by Anonymous Coward

      追記:Windows8.1Proはx64での環境です

      • by Anonymous Coward

        64はまだ一般的じゃないので普通の人には影響ないってことですね

      • by Anonymous Coward
        OSだけじゃなく、Office(PPTViewer)の方も何ビットか書いてくれると参考になりそうです。
    • by Anonymous Coward

      ・セキュリティ アドバイザリを読む限りOfficeの脆弱性でなくWindowsの脆弱性
      ・OLEはWindowsの機能で、それをOfficeが利用している
      ・PowerPointを使った標的型攻撃が発生している

      素人考えだとWindowsに対策をしないとマズいような気がするんだけど
      MSから出てるfixitはOfficeを導入していないWindowsに適用できない模様。
      これって・・・

      ・Officeを導入してないWindowsはOLEの脆弱性がない
      ・Officeを導入してないWindows環境なんてあり得ない、パッチ当てたきゃOffice買え
      ・とりあえずOffice周りだけ対策しときゃ確認済みの攻撃は防げるから時間稼ぎにはなるだろう

      のどれなんでしょ?

      • by Anonymous Coward

        #2699598です
        パッチを当てて弾かれた状況への見解です

        > ・Officeを導入してないWindowsはOLEの脆弱性がない

        これは検証できませんでした

        > ・Officeを導入してないWindows環境なんてあり得ない、パッチ当てたきゃOffice買え
        > ・とりあえずOffice周りだけ対策しときゃ確認済みの攻撃は防げるから時間稼ぎにはなるだろう

        ViewerとはいえPowerPointあり且つ
        Office Personal 2013(プリインストール)入りの
        Windows8.1 Pro x64でしたので
        この線はなさそうです

        これで穴ふさがってないなら
        OLE orz

    • by Anonymous Coward

      その妄想、カルマは上がりますか?

  • by Anonymous Coward on 2014年10月24日 15時41分 (#2699603)

    Microsoftのアドバイザリの謝意の欄にGoogle Security Teamの名前がありますね。
    Googleは以前からWindowsの脆弱性を頻繁に発見しています。過去にこんなタレコミ [srad.jp]も。
    GoogleのWindows製品なんてChromeくらいだと思うんだけど、いったいWindowsで何をしてるんですかね?

    • by poly (42427) on 2014年10月24日 16時01分 (#2699628) 日記
      つ Picasa
      親コメント
      • by Anonymous Coward

        Picasaもありましたね。それにしても、ChromeやPicasaを開発していてたまたま見つけているにしては数が多すぎる気がします。
        ネットワークトラフィックを監視して発見されたゼロデイ攻撃を解析していんでしょうかね。

        • by Anonymous Coward

          よくわからんけど、何が不満なの?

          • by Anonymous Coward

            気になるんでしょう。
            googleがWindowsの脆弱性を見つけるためにリソースを割いているのか、
            何か別のことをしているリソースが副次的にWindowsの脆弱性を見つけているのか。
            前者ならそこで話は終わりですが、googleがWindows上に展開している製品は多くない。
            googleがWindowsの脆弱性を見つけるためだけにリソースを割くのは不自然に思える。
            後者だとしたら、では実際には何をやっているのかと話が膨らむわけで。
            雑談サイトとしては後者のほうがおもしろい。

            • by Anonymous Coward

              プライバシー機能迂回をやったよね。IEで。
              Safariもやられてたような。

          • by Anonymous Coward

            単純に不思議じゃありません? 不思議に思わないのが不思議なんですが。

            • by rin_penguin (9144) on 2014年10月25日 16時44分 (#2700176)

              逆に全く不思議に思わない派です。

              「世界政府が存在するとしたら、そこで必要なものは
              全部Googleが作ってみせる」とか言っちゃう連中です。
              現行の事業と関連のあるところにしかリソースを割かない、
              なんて考えを持っているわけがない。

              親コメント
            • by Anonymous Coward

              これはGoogleとMcAfeeが頑張っただけでしょ
              # 見つからず、ひそかに攻撃されてたほうがよかったとでも?

              Google Dirve(Docs?)を含むオンラインストレージは不正なファイルの温床とか言われた時期があったから
              怪しい通信でも確認してるんじゃないの?

    • by Anonymous Coward

      Officeをウェブに持って来たいGoogleとしては、Windows/MS Officeは競合としてチェックすべきものだからじゃないかな。
      社員のマシンはすでにWindowsは申請しないと使えないシロモノらしいし。Macか独自Ubuntuがメインなんだっけ。
      ChromePCでコード書いてたりするのかな・・・

      ライバルにも見つけた脆弱性をちゃんと報告してあげるGoogleはえらい。

    • by Anonymous Coward

      インターネットが安全に使えなきゃgoogleは商売上がったり。
      そんなわけで、Windowsに限らず自社含め様々なソフトウェア(に限らず?)の脆弱性調査をしてる。

    • by Anonymous Coward

      いまは、通過するファイルを片っ端からサンドボックスで動的解析してくれるソフトウェアが結構ありますからね。
      特に、どこの製品のどのファイルって意識してなくとも、あやしさをスコアリングしてくれるものがありますよ
      Googleくらいだと独自でやるのかもしれませんが

      FireEyeのVXEとかPaloaltoのWildFireとか
      TRENDMICROやCheckpoint、VMwareベースのものもあったと思う。

    • by Anonymous Coward

      嬉々として喜び踊る信者がいるから

    • by Anonymous Coward

      Google日本語入力は?
      世界的ではないけども

  • by Anonymous Coward on 2014年10月24日 16時03分 (#2699629)

    やっぱりWindows製品は安全だった!

    • by Anonymous Coward

      Windowsの脆弱性のことを言っているのに何を言っているんでしょうか。
      #お前なんかマジレスで十分だ。

      • by Anonymous Coward

        ここは酷いインターネッツですね
        # ベタにマジレスカコワルイ

    • by Anonymous Coward

      Macの方が安全に決まってるだろ。

      # 次の方のコメントに期待。

    • by Anonymous Coward

      オープンソースは危険!!

    • by Anonymous Coward

      XPは危険。はやくセブン以上にすれ!
      Vistaは使いやすいぞ!笑い

    • by Anonymous Coward

      みんなナデラも驚くええ仕事してるね
      社内カルマたまるよ

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...