Re:マイクロソフトにしてみれば (#1762176) | ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり

「ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり」記事へのコメント

記事ページを表示すべてのコメント取得

検索18コメント Log In/Create an Account

マイクロソフトにしてみれば (スコア:-1)

by Anonymous Coward

だからカーネルにパッチ当てるなってあれほど言っただろ、って感じの攻撃ですね。
注意深く作る必要はありますが、OSが提供しているフックをお行儀よく使っていれば避けられたはずの脆弱性です。レポートのvulnerable softwareにも、Live OneCareやSecurity Essentialsは含まれていませんね。これはMicrosoftのセキュリティ製品だけが非公開APIでズルしているからではありません。MicrosoftはAPIを公開していましたが、サードパーティーはそれを無視するばかりか今までのやり方(カーネルパッチ)を続けさせろと文句を言っていました。
念のため書いておきますが、PatchGuardのおかげでこの脆弱性が避けられるわけではありませんので、PatchGuardが回避可能であることはこの脆弱性の議論と無関係です。
- Re:マイクロソフトにしてみれば (スコア:2, 興味深い)
  
  by hetareDAIO (17407) on 2010年05月11日 20時40分 (#1762176) 日記
  
  だからカーネルにパッチ当てるなってあれほど言っただろ
  カーネルにパッチとは何のことでしょうか？
  今回の問題は、ウィルス対策ソフトが検知のために使っている仕組みが、Microsoftがデバッグ用として提供しているフック用APIを使った方法であることに起因しています。この方法は、アプリケーションのデバッグ目的に非常に有効です。Microsoft自身が「Application Verifire」というツールを提供していて、API呼び出しに問題がある場合（引数がNULLだったとか）レポートしてくれるという超便利ツールがこの仕組みを使っています。
  
  --
  ほえほえ
  
  シェア
  
  親コメント
  - Re:マイクロソフトにしてみれば (スコア:2, 参考になる)
    
    by Anonymous Coward on 2010年05月11日 23時09分 (#1762259)
    
    > Microsoft自身が「Application Verifire」というツールを提供していて、
    どこにそんなこと書いてますか? レポートでは
    SSDT hook [matousec.com]とその問題 [matousec.com]について説明しているようですが。SSDT hookはまさにMSがやるなと言っている方法です。
    逆にApplication Verifierについて言及している箇所は見つけられませんでした。
    
    シェア
    
    親コメント
    - Re:マイクロソフトにしてみれば (スコア:2)
      
      by hetareDAIO (17407) on 2010年05月11日 23時26分 (#1762272) 日記
      
      SSDT hookとその問題について説明しているようですが。SSDT hookはまさにMSがやるなと言っている方法です。
      おー、了解です。ありがとうございます。カーネルの一歩手前の話ですか。なるほど。AppVは関係ないですね。失礼いたしました。
      
      --
      ほえほえ
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり More ログイン

「ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり」記事へのコメント

マイクロソフトにしてみれば (スコア:-1)

Re:マイクロソフトにしてみれば (スコア:2, 興味深い)

Re:マイクロソフトにしてみれば (スコア:2, 参考になる)

Re:マイクロソフトにしてみれば (スコア:2)

スラド