by
Anonymous Coward
on 2010年10月24日 14時50分
(#1846555)
> ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど) Windows Forms Control [csharphelp.com]ってご存じない? ああそういやFirefoxがWindows Forms Control実行用のプラグイン(「Windows Presentation Foundation」)をブロックした [srad.jp]ってニュースは.NET Frameworkにブラウザ経由で攻撃可能な脆弱性が見つかった実例だったな。これもゼロデイ攻撃が実際に報告されたわけではなかったと思うけど。
.NETに関しては (スコア:0)
Re:.NETに関しては (スコア:2, 興味深い)
更新がWindowsUpdateで配信される上、ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)点でしょう。
手元のPCの内数台で、RAID管理ツールとかiKVMがJAVA VMを要求するので入れてあるのですが、
1ヶ月ぶりぐらいに久々にデスクトップを眺めたらアップデート通知が来てました。
しかし、キャンセルしたら二度と出てこないという状態。
中途半端な自動更新システムの運用という点でかなり昔のFxのVer1.0Xを思い出しました・・・
手動アップデートするかぁ。
Re:.NETに関しては (スコア:1, 参考になる)
> ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)
Windows Forms Control [csharphelp.com]ってご存じない?
ああそういやFirefoxがWindows Forms Control実行用のプラグイン(「Windows Presentation Foundation」)をブロックした [srad.jp]ってニュースは.NET Frameworkにブラウザ経由で攻撃可能な脆弱性が見つかった実例だったな。これもゼロデイ攻撃が実際に報告されたわけではなかったと思うけど。
Re:.NETに関しては (スコア:1)
なんてこった、脳内知識が完全に間違っていました。
XBAP [microsoft.com]の事ですよね?
Re:.NETに関しては (スコア:1)
#1846555の前半の指摘については、.NET 1.0からある技術。
ActiveXって要はCOMなわけで、.NET Frameworkの各クラスはCOM互換なわけで。さすがに一般化されているわけではないものの、Internet Explorer上でWinFormを表示できるように設計されています。適当にググって見つけた例 http://japan.internet.com/developer/20051220/25.html [internet.com]
すごくマイナーではあるものの、だからといって攻撃者が狙わないわけはない。それでもあまり話題にならないのは適切なサンドボックス上で動作しているからじゃないかな?
今試してみたけど、素のWindows Vistaでインターネットゾーンからでも実行できたし。
Re:.NETに関しては (スコア:1, 興味深い)
> 適切なサンドボックス上で動作しているからじゃないかな?
Javaアプレットもサンドボックス上で動作しています。Javaの脆弱性の大多数は(すべてではありませんが)サンドボックスの破れによるものです。
だからそういう脆弱性がほとんど報告されていないのはMSの実力? と。
Re: (スコア:0)
ActiveXなどの場合はアプレットを受け入れた時点でほぼノーガードになるのがユーザにも自明なので、脆弱性ではない的な。
# ローカルで動く.NETは完璧にJITされていて、デバッガでアタッチして動作を書き換えた後書き出しに失敗して初めて.NETだと気付くくらい普通のWin32プログラムでした。
Re:.NETに関しては (スコア:1)
ちょっと古めの Java アップデーターの場合の挙動はひどかったですよ。
結局サイトから最新版をダウンロードしてきて入れないと更新できませんでした。
その際アップデーターも更新されたのかその後は更新できるようになっていましたが、そのために必要な更新が適用できないんじゃ意味ないですよね。