Google、Windowsの未修正脆弱性をさらに公表 112
ストーリー by headless
they-are-scroogled 部門より
they-are-scroogled 部門より
Google Security Researchは16日、Microsoftへの通知から90日の期限が経過したとして、Windowsの未修正脆弱性をまた公表した(Google Security Research — Issue 128、
Computerworldの記事、
本家/.)。
今回の脆弱性はCryptProtectMemory関数のオプションにログオンセッションを指定して実行した場合、ログオンセッションIDを取得する際にトークンの偽装レベルが確認されないというもの。そのため、通常ユーザーがユーザーIDレベルで偽装し、ログオンセッションのデータを復号・暗号化できるようになるという。ただし、名前付きパイプへの埋め込み攻撃に対する脆弱性や、暗号化したデータを共有メモリー領域に保持するといった脆弱性のあるサービスが存在しなければ攻撃に使われる可能性は低いようだ。Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。
Googleは12月29日にも同様に期限切れとしてWindowsのアプリケーション互換性キャッシュに関する脆弱性(MS15-001、1月の月例更新でKB3023266として修正済み)を公表しており、1月11日にはWindowsの月例更新(13日)で修正するので情報の公表を待ってほしいとの通知を事前にMicrosoftから受けていたにもかかわらず、Windows User Profile Serviceの脆弱性(MS15-003、同じくKB3021674として修正済み)を公表。脆弱性情報を協調的に公開しないGoogleの姿勢をMicrosoftが批判していた。
なお、脆弱性が修正されたもの(Fixed)や、脆弱性に該当しないなどの回答があったもの(WontFix)については、Googleでは期限に関わらず公開している。Windows関連のものでは、15日にIssue 127、16日にIssue 138、156、160、206がWontFixとして公開されている。
今回の脆弱性はCryptProtectMemory関数のオプションにログオンセッションを指定して実行した場合、ログオンセッションIDを取得する際にトークンの偽装レベルが確認されないというもの。そのため、通常ユーザーがユーザーIDレベルで偽装し、ログオンセッションのデータを復号・暗号化できるようになるという。ただし、名前付きパイプへの埋め込み攻撃に対する脆弱性や、暗号化したデータを共有メモリー領域に保持するといった脆弱性のあるサービスが存在しなければ攻撃に使われる可能性は低いようだ。Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。
Googleは12月29日にも同様に期限切れとしてWindowsのアプリケーション互換性キャッシュに関する脆弱性(MS15-001、1月の月例更新でKB3023266として修正済み)を公表しており、1月11日にはWindowsの月例更新(13日)で修正するので情報の公表を待ってほしいとの通知を事前にMicrosoftから受けていたにもかかわらず、Windows User Profile Serviceの脆弱性(MS15-003、同じくKB3021674として修正済み)を公表。脆弱性情報を協調的に公開しないGoogleの姿勢をMicrosoftが批判していた。
なお、脆弱性が修正されたもの(Fixed)や、脆弱性に該当しないなどの回答があったもの(WontFix)については、Googleでは期限に関わらず公開している。Windows関連のものでは、15日にIssue 127、16日にIssue 138、156、160、206がWontFixとして公開されている。
Google Security Research のメリットは? (スコア:3, 興味深い)
たとえば相対的に Chrome OS が安全であることをアピールするとかなんでしょうか。
Microsoft が Chrome OS や Mac OS の脆弱性を発見するシナリオを考えましたが、やる意義ないよなーと思いました。そこでセキュリティ対策ソフトを作っているわけでもない Google Security Research はどういう理由で活動して Windows の脆弱性を見つけられるのかなーと。
Re:Google Security Research のメリットは? (スコア:1)
半分以上冗談ですが、とりあえずいくらか懸賞金は貰えるんじゃないでしょうか?(笑)
マジレスすると、google や多くのwebサービス企業にとってのクライアントプラットホームの1つである Windows のセキュリティが向上するのはメリットがあると思います。
# 90日ルールと公開についてのメリットはここでは横に置いてますが。
LIVE-GON(リベゴン)
Re: (スコア:0)
個人情報(自分らの売り物)抜きづらくなってきたんで潰しに来たんじゃね?
Googleはどこまで邪悪さをさらけ出すか (スコア:2)
ユーザーの個人情報を勝手に吸い出し利用するの次は、ユーザーが危険に晒される情報を勝手に公開ですか
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:Googleはどこまで邪悪さをさらけ出すか (スコア:1)
なお自分達はOSバージョンごとのサポート期間などを明らかにせず一方的にパッチを打ち切る
http://www.itmedia.co.jp/news/articles/1501/13/news113.html [itmedia.co.jp]
Re: (スコア:0, フレームのもと)
日本のキャリアはパッチを配布しないことも多いので問題ありません
Re: (スコア:0)
脆弱性放置に問題なしって正気か。。
もうちょい筋のいい擁護しろよ
Re:Googleはどこまで邪悪さをさらけ出すか (スコア:1)
修正されずに放置される方が危険に晒される可能性が高くなるという判断でしょう。
情報が流失してることを知らないまま無防備でいるよりかは、ネットワークケーブルを引き抜くという選択肢がある方がマシとも言えます。
GoogleはWindowsだけを対象としているわけではなく、OSXやLinuxに対しても同様の姿勢をとってるわけですから、
パソコンが安全に使えないということの責任をとるべきなのは、まともなOSを世に出せないマイクロソフトだと思います。
Re:Googleはどこまで邪悪さをさらけ出すか (スコア:2)
期限「90日」の根拠はどこに?
「ネットワークケーブルを引き抜くという選択肢」なんて、「ネットを放棄しろ」と言っているも同然の非現実的な妄想でしかない。
Google自身は過去のバージョンの脆弱性修正を完全放棄しているのに、
MSには90日で修正しろと迫り勝手に未修正の脆弱性を公開する。
そんな姿勢のどこをみたら「修正されずに放置される方が危険に晒される可能性が高くなるという判断でしょう。」なんて言葉が出てくるんでしょうか?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
公開されて悔しいのなら、さっさと修正するか、逆にAndroid関連で
同じ手法で修正要求すりゃいいじゃん。
不具合修正しない理由を必死に作るなよ恥ずかしい…
Re: (スコア:0)
>公開されて悔しいのなら
いったいどこからそんなデンパ受信してんの?
>さっさと修正するか
それができないから修正されてないんでしょ
>同じ手法で修正要求すりゃいいじゃん。
もうサポートしません宣言してるところに対して何の意味があるの?
Google教信者の盲信?
Re: (スコア:0)
90日にする根拠がない以上、無駄な議論としか。
Re: (スコア:0)
完全に同意なんだけど、これに対してそのような対応をとったGoogleもせめられるべきかと。
>Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。
Re: (スコア:0)
いえいえ、ニュース本文に、
とはっきり書かれていますが…。しかも、MS側は口先だけでなく、実際に修正パッチの準備をしているってことは前回の脆弱性の件で(ある程度)証明されてますし…。
Re: (スコア:0)
AndroidやChromeOS的には
叩いておきたいライバルですからねぇ
けどPC離れが加速している昨今は
Microsoftは落ち目に来てるから
あんまり叩き過ぎるのも
後にGoogle自身の首絞めそうなんですよね
ライバルいなくなると各国から
分割勧告・命令が出ちゃいますから
# 裏で分社化準備進めてるのかな
Re: (スコア:0)
それより、googleはandroidの古いバージョンの脆弱性をなんとかしてよ。
ファームウェアアップデート出来ない古い機種は捨てるしかないの?
Re: (スコア:0)
MircosoftがXPの脆弱性修正をいつまでも行ってるのとは対照的ですね!
Re: (スコア:0)
Re:Googleはどこまで邪悪さをさらけ出すか (スコア:1)
だからこそ対照的なんじゃないですか
Re: (スコア:0)
真の比較対象 [microsoft.com]と比較すると…
それともこれもPC向けWindowsと同じ頻度でセキュリティアップデートされてるんですかね?
違う物を持ち出してきて対照的もなにも…
Re:Googleはどこまで邪悪さをさらけ出すか (スコア:1)
古いXPの脆弱性を修正してきたMSと、それより比較的新しいものを捨て去るGoogleが対照的だってことじゃないのですか、と
そういうことなのだと読んだつもりなんですがね?
Re: (スコア:0)
存在すらしていませんね。
買われる前のAndroid社すらもない。
Re: (スコア:0)
そういやMSの場合、事情によってはいまだにXPのパッチを作ってくれるんだよな…。流石に有料の特別契約が必要になるけど…。
Re: (スコア:0)
それは、適当なカスタマイズしたせいでアップデートできない製品を作ったOEMベンダーに言うべきでは?
ユーザにOS部分をいじらせない構成にして、そもそもアップデートすらサポートしないのは、
Google のせいではないでしょう。
# まぁ、ほぼ生の Nexus ですら、Nexus 4 (2012年末リリース) からしか 5.0 Lollipop に対応してないですけど。
正直90日を何に使ったの? (スコア:2, すばらしい洞察)
人間締め切りがないと何もしないよね。
1日目 「えー、なんかめんどくさい仕事が降ってきたなー。まだ先のことだし、ぼちぼちでいいか」
40日目 「そろそろ下調べくらいしておいてほうがいいかな?でも本業も山積みだし、今日はとりあえずそっち片づけなきゃ」
80日目 「あ?忘れてた、そういえばそんなことあったな。いっけね。何が問題なんだっけ?」
85日目 「うわ!思ったより根が深いじゃん!これも影響でるの?甘く見てたわ…どうしよ」
最後の日 「どうやっても間に合いません!いやそもそも90日じゃ無理なんですよ!のばしてくださいよ!」
Re:正直90日を何に使ったの? (スコア:1)
Windowsの場合、ほとんどの期間は互換性のテストでしょう。
Re: (スコア:0)
今回の件に関しては、まさに互換性問題ですしね。
セキュリティトークンとか権限周りの実装が適当で動かなくなるソフトが見つかったから洗い出しとベンダーに連絡して修正待ちとかありそうだ。
Re: (スコア:0)
次からは適当に実装するのをやめるってするのは難しいでしょうね。
セキュリティについて予め予見をしておくインターネット企業と、まずは実装ありきのOS屋との温度差を感じます。
Re: (スコア:0)
いや、その表現と比較は変でしょ...
Re: (スコア:0)
この書き込みでどれだけお手当もらうの?
Re: (スコア:0)
去年は公開したアップデートを引っ込めることも何度かありましたから、なおのことチェックに工数を大きく取りたいだろうしね。
Googleの場合、Nexusデバイス以外はシラネってスタンスだからやりたい放題だな。
Re:正直90日を何に使ったの? (スコア:1)
#2745397を書いてから気づいたんですが、この90日ルールの真の目的はGoogleによる事実上の独占強化なんじゃないかな。
Androidはライセンス的にはオープンだけどプロジェクト自体は閉鎖的で、ストアへのアクセスも含めるとその傾向はさらに強くなる。
一般ユーザーが安全・便利にAndroidデバイスを使うためには、事実上Nexusデバイスを選択する他なく、サードパーティーは閉め出されることになる。
MSはサードパーティとのコミュニケーションを取りながら修正を進めるのでどうしても時間がかかり、Nexus以外の面倒を見る気がないGoogleの90日ルールに対応できない。
Windowsのゼロデイ脆弱性公開を継続すればWindowsPCも安全に使うことが難しくなるので、一般ユーザーが安全にオンラインサービスを利用するにはNexusデバイスに最新のアップデートを適用するというシンプルな方法に行き着く。
この状況が長期化すればパーソナルユースのデバイスというか、プラットフォームの多様性が失われることになるんじゃないでしょうか。
今はMSの方が多様性の維持に気を遣っているように見える。
Re: (スコア:0)
UIいじってる暇あったら、互換性テスト部隊をふやせばいいのに。
まさに be evil! (スコア:0)
俺ルール過ぎてヘドが出る
Re: (スコア:0)
90日ルールを一般化したいのかな (スコア:0)
オレサマの決めたルールだ、お前らも従えとMS的発想なのかな。馴れ合い、談合よりマシかもしれないけど、もう少し業界のコンセンサスを得てからの方が良いのでは
Re: (スコア:0)
>もう少し業界のコンセンサスを得てからの方が良いのでは
なんで?
Microsoftには90日前に報告しています。月に1回のWindows Updateが少なくとも1回(2回あるけど1回目は修正とチェックに時間がかかって間に合わないかもしれないので)
修正のタイミングがあったのにしませんでした。Microsoftはあまり脅威度が高くないと思っていたかもしれません。
それなら公開してMicrosoftの対応を待つのも一つの手です。いい手かどうかは別の話。
Re: (スコア:0)
互換性の問題でパッチ公開を一か月先延ばしするので公開は控えてくれと要請されていたのに
Googleがオレオレルールに固執して公開したように見えますがね。
つい先日も同じようなことがありました。
MSにパッチ報告を無視られてたなら同情の余地はないですが、
公開に向けて動いているのにひっくり返すさまはやはりevilだなと思わざるを得ませんね。
Re: (スコア:0)
全くで。パッチできて公開するからそれまで待てというのを、待たないってのは
ユーザにとってメリットは何もないと言えるのでGoogle自体がやりたいことでしかなかった。
自分ルールに拘泥することの方がユーザメリットに勝ると判断したことになりますから、evilと言わざるを得ない。
Re: (スコア:0)
で、それがMSの要望どうり1ヶ月公開を伸ばして120日になったらなにか困るの?
なんで30日後には直ると言ってるのにわざわざ公開して30日間ハッカーたちが好き放題出来る期間を設けたの?
Re:90日ルールを一般化したいのかな (スコア:1)
Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?
対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
MS的発想というよりGoogle的発想と言うべきじゃなかろうか。
いつから逆転したかわからんけど、今はMSよりGoogleの方がずっと俺様だと感じるわ。
正直に思うが (スコア:0)
GoogleもMicrosoftも、どっちもどっち。
お互いに醜い足の引っ張り合いをしているだけ。
どちらも大企業病にかかってるのは間違いない。
そう思うね。
Re:正直に思うが (スコア:1)
Apple「争え・・・もっと 争え・・・」
Re: (スコア:0)
MS「とか何とか言っている間に、Apple製品もGoogle Security Researchに狙われるかもよ…orz」
Re: (スコア:0)
批判して成長したら同じ以上のことをやるあたりGoogleの方が邪悪さは感じるけどな
一番の害悪はそれでもGoogle崇拝をやめない人たちだけど
あなたたちが憎いんでいた行為を今は貴方たちの神がやっているではないですか?と
Re: (スコア:0)
結局の所、ユーザーから直接金を取ってるかどうかの違いなんですよね。
多くの人にとってはタダでOSを配ってくれれば何でもいいんですよ。
しっかり仕事をしてても金を取る会社は叩くという人が多い。
自分の給料が広告収入のみになることは耐えられないくせにね。
windowsはこんなに危険! (スコア:0, 荒らし)
だからchrome book買えやてめーら
by Google
何度も言いますが (スコア:0)
グーグルは検索とグーグルMAPの地図データだけ提供していれば良い
後は害悪でしかない
Re: (スコア:0)
真面目な話、Adobeで配布されているreaderとかFlashプラグインとかにバンドルされてるソフトはブロックして良いと思う。
ユーザーの目的達成に必要でも有用でもないソフトを、ユーザーの明示的な意思によらずインストールするように誘導してるわけで。
昔、Appleのソフトウェアアップデータがどうでもいいソフトをついでにインストールさせるようになってて、バッドウェア認定直前になってましたよね。
なんでバッドウェア認定がないのかと思ったら、Googleがバッドウェア認定団体のスポンサーだった。