一太郎に任意のコードを実行可能な脆弱性、ゼロデイ攻撃も確認される 34
ストーリー by hylom
一太郎だから安全というわけではなかった 部門より
一太郎だから安全というわけではなかった 部門より
headless 曰く、
ジャストシステムは13日、細工された文書ファイルを開くことで任意のコードが実行される脆弱性が一太郎シリーズで確認されたことを発表し、アップデートモジュールの提供を開始した(一太郎の脆弱性を悪用した不正なプログラムの実行危険性について、JVN#16318793、トレンドマイクロセキュリティブログの記事)。
この脆弱性を悪用すると管理者権限で任意のコードを実行可能となり、不正プログラムのインストールやデータの削除・変更などの操作が行われる可能性がある。トレンドマイクロでは6日以降、この脆弱性を利用するゼロデイ攻撃ファイル(一太郎文書ファイル)を5種類以上確認。解析の結果、すべてが遠隔操作ツール(RAT)を侵入させるものだったという。
これらの攻撃ファイルを開くと一太郎が起動して文書の内容が表示される一方、裏ではRATがTempフォルダに展開され、活動を開始する。トレンドマイクロによれば、一太郎の脆弱性を狙った攻撃の件数は少ないものの、毎年確認されているとのことだ。
「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:5, すばらしい洞察)
とのことですが、一太郎のファイルは「文章ファイル」なのですから、開いてみないと出所が不明かわからないことも多いのではないでしょうか。
例えば、企業のメールアドレスに 「発注書を添付しました。ご査収の程、よろしくお願い致します。」 というメールが来たとして、既に取引関係にある会社であることがメールアドレスから明らかでない限り、文章ファイルを開かないなんて運用が可能でしょうか? 企業名・住所・担当者名などは発注書本文(ドキュメントファイル)にしか書かれていない場合もあり得ます。
ジャストシステム社は出所が不明なファイルを開かないように要求するなどユーザーに責任転嫁するのではなく、脆弱性の無いコーディングを心がけ、万が一の場合に備えてサンドボックス上で処理をするといった、二重三重のセキュリティ対策を行うべきです。
出所が不明な文章を安心して開けないようなワープロソフトは使いたくありません。
Microsoft も以前は 「出所が不明なWebサイト / メール は IE / OE で開くな」 などと言ってましたが、過ちを認め、そのような無意味な主張はしなくなりました。たかだか文章ビューアなのですから、せめて MUA 並に安心して文章を開けるようにしていただきたいものです。
※マクロについては、マクロの自由度によってはやむを得ない場合がありますので、別途セキュリティ警告を表示させ、信頼できないマクロを実行しないようにユーザに要求しても良いでしょう。
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:2, すばらしい洞察)
するべきでそうなりゃ苦労はない
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:1)
互換性を取るか、セキュリティを取るか。
Re: (スコア:0)
同意
そもそも作りに問題ありますよね
読む・見るだけなら丸ごと画像でいいわけで
テキストコピーについても
別途テキストを格納し座標なりIDなどで
テキストエリア情報を管理していれば
脆弱性が生まれる余地を減らせるのに
さすがに編集作業はそうもいかないでしょうけれど
回覧文章のファイルフォーマットは改善してほしいですね
PDFですら危なっかしいんですから
# まぁそれでも画像レンダリングでの脆弱性は残ってしまいますが
Re: (スコア:0)
お前の言う事は評論家だな
ドヤ顔で言ってるんだろうが、すでにそうなってるよ
「出所の不明な実行ファイル」を開いても問題が無い設計をすべき (スコア:0)
MS「早くWindows8にしてください」
Re: (スコア:0)
とおっしゃっておりますが、半年前リリースされた、マイクロソフト セキュリティ情報 MS14-034 - 重要 [microsoft.com]や、
一週間前にリ
Re: (スコア:0)
でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね。極論を好みすぎて論理に影響がでていませんか?
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:1)
ウェブブラウザは用途から考えて「見ず知らずのURLを開いてはいけない」とは書いてない(し、そもそもエンドユーザに対して商品として販売されているウェブブラウザは少ない)けど、サンドボックスをもっていたとしても、実装の甘さからきた脆弱性を突かれることがないわけじゃないです。
ブラウザの脆弱性なんて、いくらでもアナウンスされてます。
Re: (スコア:0)
「ブラウザに脆弱性がある」のと「ブラウザベンダが出所不明のファイルを開かないように要求する」のは全くレイヤの違う話。たとえブラウザに脆弱性があっても、Microsoft/Google/Mozilla/Operaが「出所不明のURLを開かないように要求する」ことは決してない。もちろん、損害賠償とかは負ってくれないけど、「使い方が悪い」っていう言い訳はしない。だって、バグを仕込んだ方が悪いに決まってるんだから。だから、彼らは迅速に修正する。
みんなそんなことは百も承知で「出所不明のURL」を開くし、それが社会にとっての利便性になっている。
Re: (スコア:0)
spamにのってる見ず知らずのURLを思わずクリックするひとが多くて、そのあとトラブルに巻き込まれるケースもありますね。
やっぱ、しらないドキュメントを読み込むのってコワイことにはかわりないと思うのです。
Re: (スコア:0)
フィッシングは脆弱性ではあっても特権のセキュリティホールではないんだから、そこを一緒くたにすると、議論が成り立たない。
Re: (スコア:0)
フィッシングに限定した話など誰がしましたか?
さすがにspamのURLが指すもの全部がフィッシングサイトだけと
思ってる人とは議論が成り立ちませんよ・・・
Re: (スコア:0)
> でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね
そういうセキュリティホールも以前にあったような・・・。
ウェブのサンドボックスだって完全だという証明は出来ないわけで、過信は禁物ですよ。
Re: (スコア:0)
あるだろ。セキュリティに対する意識低すぎ。
Re: (スコア:0)
なになに?発注書とな?ぽちっと…「現在作成者の署名を確認しています」…うーむ、しょうがないか。でも署名とかちゃんとやってそうでもないが…「文書の整合性を確認しています」…まあ、変な文書は困るからな…「サンドボックスで仮想実行し、問題がないか検証しています」…うむむ、仮想実行?何を実行しているんだ?まあ、待つしかないか…「正確な判定のため、ジャストシステムのクラウドサーバに送信して検証しています」…え?クラウド?送信?なんか最近何でもクラウドだなあ…「送信中。再送信しています。送信中」…まあ、文書が大きいのかな?ネットワークも速いとは言えないしな…「メモリエラーが発生しました。メモリを増設してください」
おい!いつになったら見えるんだよ!
ってなことにならなきゃいいけども。
Re: (スコア:0)
今の時代そんなことはないだろう。多分。
Re: (スコア:0)
ファイルのプロパティもありますし、そもそも開いて書かれていた出所が正しい保証がどこにあるんですか?
> 既に取引関係にある会社であることがメールアドレスから明らかでない限り、文章ファイルを開かないなんて運用が可能でしょうか?
可能じゃないんですか?
本当に知り合いだったらどうしようと頭をよぎるのはあるとは思います。だからといって片っ端から開くんですかね?
英語でも開きますか?
開かないなら英語だったら英語なわけないから開かないなんて運用は可能なんですか?
任意コード実行はともかく (スコア:0)
なんで管理者権限まで取られちゃうんでしょう?
Re: (スコア:0)
管理者権限を乗っ取るコードも任意コードに含まれるから。
一太郎 (スコア:0)
軽くてテキストエディタ代わりに重宝してたけどハードも寿命近いしまとめて捨てるか、、、
Re: (スコア:0)
一太郎が軽量ソフト呼ばわりされる日が来るとは...
V3使ってるとかだったりして。
Re:一太郎 (スコア:1)
> 一太郎が軽量ソフト呼ばわりされる日が来るとは...
一太郎DASHじゃ?
TomOne
Re: (スコア:0)
昔ネットでよくあった重量級ソフトなんていらんのじゃーって声を真に受けて作ってみたら、売れなくてガッカリしたのがDASHでしたっけ…
Re: (スコア:0)
でも教育機関で生徒用にはそこそこ入ってたという。
今なら就職を意識すればWordの習得したほうがいいに決まっているけど、ワープロソフトという概念を学ぶのには丁度良かった。
(MSDOSの時代には特に、LSI-C試食版でCを学ぶみたいな)
Re: (スコア:0)
無念 遺棄太郎 の 巻
任意コード実行ってあれでしょ (スコア:0)
特定の操作をするとスタッフロールが流れたりするヤツ
任意コード (スコア:1)
えんいー
一太郎の普及率はどんなもの (スコア:0)
官公庁でまだ一部使ってたりするのかな。
そろそろオワコン気味な感じが。
純日本企業として頑張ってほしいですが、罫線文化を普及させた悪役ともいえるしな。
Re:一太郎の普及率はどんなもの (スコア:2, 参考になる)
法律関係はみんな一太郎ですよ。裁判所も検察も弁護士も。
検察で取調べられるとわかりますが、一太郎用の調書フォーマットと用紙があって、そこに印刷している。
Re: (スコア:0)
官公庁で使ってるからこそ、一太郎を狙ったウィルスが作られてるのでは?
> 罫線文化を普及させた悪役ともいえるしな。
逆でしょう。もともと罫線文化があったので対応してるのです。
Re: (スコア:0)
法令関係の文書は一太郎が多い
ついでに、警察関係と外務だか財務の一部に一太郎好きが居たはず
一太郎のドキュメントが来るとげんなりする
Re: (スコア:0)
Excel方眼紙が来るより遥かにましだと思いますよ。
Re: (スコア:0)
某地方官庁(数百人規模)で一太郎とExcelだった。
使ってるところでは使っていて、なかなか変化しない。