パスワードを忘れた? アカウント作成
12992488 story
Windows

CERT曰く、Windows 10でもEMETは無駄ではない 30

ストーリー by headless
緩和 部門より
Microsoftは脆弱性緩和ツールEMETをWindows 10で使用する必要はないとし、2018年7月31日のサポート終了を明らかにしているが、Windows 10でもEMETのようなツールが必要だとCERTのWill Dormann氏が反論している(CERT/CC Blogの記事The Registerの記事Neowinの記事BetaNewsの記事)。

Microsoftでは、EMETと同等かそれ以上の機能が多く統合されたWindows 10でEMETを使用する必要はないと主張。EMETの機能が統合されていないWindows 8.1までのOSでは、パフォーマンスや信頼性が低下するとしてWindows 10への移行を推奨している。

しかし、Dormann氏によれば、Windows 10にEMETを組み合わせることで、Windows 10単体と比べて13種類12種類(※)の緩和策が追加されるという。Windows 10のControl Flow GuardはEMETのROP緩和策と同様の保護機能を提供するが、アプリケーション側でCFGを有効にしていなければ利用できない。緩和策の数で比較すれば、Windows 7+EMETもWindows 10を上回る。

そのため、Windows 10でEMETが不要になるというMicrosoftの説明は正しくないとのこと。また、サポートが終了したアプリケーションで未修正脆弱性が発見されるとゼロデイ脆弱性ではなく「forever-day」脆弱性になるとし、こういったアプリケーションを保護するためにもEMETのようなツールが必要だと述べている。

※元記事のWindows 10単体で対応可能な緩和策に「NullPage」が追加されたので訂正
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • DevExpress (スコア:5, 興味深い)

    by Anonymous Coward on 2016年11月26日 18時12分 (#3120425)

    実は、MSが技術的な問題でEMETのサポートを辞めるのではなく、経済的な問題だったりする。

    EMETはDevExpress ver.15.1のランタイムモジュールを利用しているのだけれど、そのサポートが終わるからEMETのサポートも終了するってだけみたいです。無料で配っているものに追加投資してDevExpress ver.16.1とか後続のバージョンベースで再開発するのが、投資に見合わないと判断したようです。

    • by Anonymous Coward on 2016年11月27日 12時12分 (#3120649)

      ソース出せ

      親コメント
    • by Anonymous Coward

      営利企業の決定なんだから経済的なものに決まってるだろ

      • by Anonymous Coward

        技術者がいなくなって解散とかあるんだから、経済的なものに決まっちゃいないだろ

        • Re: (スコア:0, すばらしい洞察)

          by Anonymous Coward
          技術者いなくなってやめるってのは、普通は経済的な理由という分類するのだが、それ以外に分類するケースもあるの?
          • by Anonymous Coward

            クソリプやめなよ‥

            • by Anonymous Coward

              #3120467は糞だが#3120574は糞ではない

            • by Anonymous Coward

              ×クソリプ
              ○俺様が気に食わないリプ

          • by Anonymous Coward

            技術者がいなくなる理由が事故死の場合は経済的な理由じゃないよね?

            あと営利企業の決定が経済的な理由だとは限らない。
            社歌を持つ企業があるけど、あれが経済的合理性があるとは思えない。

            • by Anonymous Coward

              #3120704にもかかるが、技術者が事故死しようがチームごといなくなろうがサポートは不可能ではないよ。
              一般的にはコストが高すぎて不可能と同一視されるだけで。
              つまり経済的な理由だ。

              • by Anonymous Coward

                月に行けなかったソ連のN-1ロケットが中止されたのは、ソ連にお金がなかったのではなくコロリョフが死んだからではないだろうか。
                ソ連の宇宙予算がいくらあっても、グルシュコが後を継ぐ限りN-1ロケットは継続されなかったと思うよ。
                この場合、事故死でなく病死だけど。

              • by Anonymous Coward

                まあ元コメにとってはポスト・ジョブズの確保もみずほシステムの正常化も
                すべては積むべき札束の量で解決できる問題なんでしょう。

                なんていうか、そのゴリ押し論法を読んだ人がほほぅと納得すると本気で思ってるんですかねえ…。
                引くに引けなくて自分に言い聞かせてるようにしか見えない。

              • by Anonymous Coward

                たかがEMETやめるのをポスト・ジョブズの確保の問題にすり替えるのこそゴリ押し論法って言うんじゃないかな。

                みずほシステムの正常化は札束で解決可能でしょ。
                どうしても不可能ってことにしたいならあの手の問題はスタッフの確保より納期の問題とした方が説得力がある。

          • by Anonymous Coward

            あなたの「普通」の範疇は知りませんけど…、
            方針対立からチームごとスピンアウトなんてよくある話ですし
            MSに程遠い中小零細ならトラックナンバー1のプロジェクトもありふれてますよ。
            先日そんな記事ありましたよね。

            # 旗色が悪くなるとバカのフリして無限後退するタイプですか?

    • by Anonymous Coward

      MSがいまだにサードパーティー製品に依存していたことに驚いた。その末路まで3Dピンボール [srad.jp]と一緒だし

      • by Anonymous Coward

        むしろ全部自前で賄うほうが大変ではないでしょうか。
        ライセンスが合えばOSSを利用するという手もあるかと。

        # 最近、実際に使っているかは知りません。

        • by Anonymous Coward

          重要な製品なら買収(PowerPoint)とか引き抜き(C#)とかライセンス取得(IE,SQL Server)とかして自前にするでしょう
          今回はそうではなかったということでは

  • by Anonymous Coward on 2016年11月26日 17時26分 (#3120398)

    EMETを無効化できるバグとか(関連ストーリーにある通り)たびたび発見されてきたわけだし、サポートが切れてからも使い続けることに意味があるかは疑わしいなあ。

  • by Anonymous Coward on 2016年11月26日 17時35分 (#3120405)
  • なんで他人が作ったソフトまでMSが面倒見るのが当然という論調なのか
    原因も対策も周知されているわけだし、Windowsができた昔と違って署名キーを作る必要があるわけだし、
    メンテ中ステータスが無効になったらアンインストール推奨する機構を持つ方がよほどいいだろ。

  • by Anonymous Coward on 2016年11月26日 18時45分 (#3120449)

    そもそもOSレベルのセキュリティは
    脆弱性のあるアプリケーションを実行してもシステム全体を乗っ取られないようにするだけで、
    脆弱性のあるアプリケーション自体がが重要な情報を持っているとかの場合は、全く意味がない。

  • by Anonymous Coward on 2016年11月26日 19時11分 (#3120458)

    毎月のセキュリティアップデートの情報をみれば、IEのあたりとかで「この脆弱性はEMETで防げる」みたいなことが書いてあるよね。

    • by Anonymous Coward

      前任者のIEはEMETに頼らざるを得ない反逆的ブラウザでしたが云々

      • by Anonymous Coward

        実際、この前Googleが公表していたゼロデイ攻撃の脆弱性でも、EdgeとWin10のChromeなら脆弱性が緩和されそうだという話が出てたし。セキュリティの向上自体は事実なんじゃね?

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...