アカウント名:
パスワード:
江添亮も 言及している [blogspot.com]ように
MSのアンチマルウェアソフトウェアには、NScriptというJavaScript風のインタープリターが入っている。これによってあるJavaScriptコードが既知の悪意あるソフトウェアのパターンに一致するかどうかを調べている。JavaScriptはいくらでも同等内容になるように変形可能なので、実際に実行しなければパターンに一致するかどうかわからない。したがってこのように実際に実行して挙動がパターンに一致するかどうか調べる仕組みが必要になる。
問題は、このインタープリターは極めて強い権限で実行され、サンドボックス化もされていない。これはセキュリティソフトウェアとして問題外の実装だ。任意の悪意ある可能性があるコードの挙動を実際に実行して調べるのに、不必要な権限の放棄や適切なサンドボックス化を行っていないのはありえない。
かつ、MSのアンチマルウェアソフトウェアはファイルシステムの変更を監視していて、ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする。これは任意のブラウザーなどのソフトウェアのキャッシュなどにも対応できる
実装クソでしょってのはその通りだと思うんですが、
>ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとするこれは本当なんでしょうか?手元の環境だとnscript-type-confusion.zipを保存しただけでは何も起こらず、ダブルクリックした段階でようやくMsMpEngが死んだんですが…
初期設定だと圧縮されたファイルは中身を展開する段階まで放置だったと思いますよ。
ご指摘ありがとうございました。仰る通り拡張子がZIPだったから保存時のスキャンを免れていただけでした。
# 非常に恥ずかしい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
「2日で修正(キリッ」などとドヤってる場合か? (スコア:0)
江添亮も 言及している [blogspot.com]ように
MSのアンチマルウェアソフトウェアには、NScriptというJavaScript風のインタープリターが入っている。これによってあるJavaScriptコードが既知の悪意あるソフトウェアのパターンに一致するかどうかを調べている。JavaScriptはいくらでも同等内容になるように変形可能なので、実際に実行しなければパターンに一致するかどうかわからない。したがってこのように実際に実行して挙動がパターンに一致するかどうか調べる仕組みが必要になる。
問題は、このインタープリターは極めて強い権限で実行され、サンドボックス化もされていない。これはセキュリティソフトウェアとして問題外の実装だ。任意の悪意ある可能性があるコードの挙動を実際に実行して調べるのに、不必要な権限の放棄や適切なサンドボックス化を行っていないのはありえない。
かつ、MSのアンチマルウェアソフトウェアはファイルシステムの変更を監視していて、ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする。これは任意のブラウザーなどのソフトウェアのキャッシュなどにも対応できる
Re: (スコア:0)
実装クソでしょってのはその通りだと思うんですが、
>ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする
これは本当なんでしょうか?
手元の環境だとnscript-type-confusion.zipを保存しただけでは何も起こらず、ダブルクリックした段階でようやくMsMpEngが死んだんですが…
Re:「2日で修正(キリッ」などとドヤってる場合か? (スコア:0)
初期設定だと圧縮されたファイルは中身を展開する段階まで放置だったと思いますよ。
Re: (スコア:0)
ご指摘ありがとうございました。
仰る通り拡張子がZIPだったから保存時のスキャンを免れていただけでした。
# 非常に恥ずかしい