アカウント名:
パスワード:
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。これはwindowsの仕様によるもの。もちろんそのdllが正規なものかどうかのチェックをインストーラ側(exe側)でチェックすることもできるから脆弱性といえばそうなのかもしれないけど、dll側がapiフックかけてそのチェックを回避することもできるしねー。
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
仕込まれた時点で、もう乗っ取られてると思うよ。
%PROGRAMFILES% に仕込まれる危険性は UAC の保護等もあり低い一方でダウンロード先フォルダなどは危険性が高いということで、最近はダウンロードしてそのまま実行するようなものが報告の対象になってる。
怪しいソフトをダウンロードして実行したらダメですよ!ってレベルの問題か・・・
それよりももう一歩か二歩進んだ話かと。一部の安全性の確認方法が通じなくなる。
取引先(?)から「このソフトを使ってください。マイクロソフト製のソフトです」ってリンクが送られてきて、ダウンロードした。 ZIPを解凍し、署名も問題なく、ウイルス対策ソフトも警告を出さなかったので、インストールしたところ、展開したZIPに標的型の攻撃コードがはいったDLLが含まれていて…
こういうことがおきる。
不審者から送られてきたソフトは実行してはいけません ってのはソーシャルハッキングでどうにでもなってしまう時代。なので信頼できる相手であっても、信頼できない
基本的、多くの仕事はセキュリティを守ることじゃなくて、効率よくお金を稼ぐことなので、ガチガチに制限したら意味ないんですよ。 健康の為なら死んでも言い、ならぬ、セキュリティの為なら仕事をしなくてもいい、ってわけにはいかないもんなんです。
そのバランスを守る運用が必要なんだけど、こういう話でだんだんとバランスを制限側に持って行かざるを得なくなるんだが、はっきり言ってセキュリティはどこまでかけても金にはならないんで、悩ましい。
あと、exeの実行抑止はともかく、dllってブロックできたっけ?exeが署名付きなら、そこから呼び出す方はブロックできなかったような。 それに、あらかじめ信頼できるリストがあるならともかく、自分らで整備しなきゃなんないなら、使う方も不便、作る方も不便、メンテも大変で、可能性は低いから脆弱性は放置しましたで済まさないで欲しいと思うわ。
> アプリケーション開発者でもない限りそれで何ら不自由ないだろ
んなわけない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
仕様と脆弱性の違いはどこに? (スコア:1)
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
これはwindowsの仕様によるもの。
もちろんそのdllが正規なものかどうかのチェックをインストーラ側(exe側)でチェックすることもできるから脆弱性といえばそうなのかもしれないけど、dll側がapiフックかけてそのチェックを回避することもできるしねー。
Re: (スコア:1)
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
仕込まれた時点で、もう乗っ取られてると思うよ。
Re: (スコア:0)
%PROGRAMFILES% に仕込まれる危険性は UAC の保護等もあり低い一方で
ダウンロード先フォルダなどは危険性が高いということで、最近は
ダウンロードしてそのまま実行するようなものが報告の対象になってる。
Re: (スコア:0)
怪しいソフトをダウンロードして実行したらダメですよ!ってレベルの問題か・・・
Re: (スコア:0)
それよりももう一歩か二歩進んだ話かと。一部の安全性の確認方法が通じなくなる。
取引先(?)から「このソフトを使ってください。マイクロソフト製のソフトです」ってリンクが送られてきて、ダウンロードした。
ZIPを解凍し、署名も問題なく、ウイルス対策ソフトも警告を出さなかったので、インストールしたところ、展開したZIPに標的型の攻撃コードがはいったDLLが含まれていて…
こういうことがおきる。
不審者から送られてきたソフトは実行してはいけません ってのはソーシャルハッキングでどうにでもなってしまう時代。なので信頼できる相手であっても、信頼できない
Re: (スコア:0)
信用できるパブリッシャーの署名のないexeとdllの実行をブロックするだけ
法人向けのAAならどこのでもできると思うよ
Re: Re:仕様と脆弱性の違いはどこに? (スコア:0)
基本的、多くの仕事はセキュリティを守ることじゃなくて、効率よくお金を稼ぐことなので、ガチガチに制限したら意味ないんですよ。
健康の為なら死んでも言い、ならぬ、セキュリティの為なら仕事をしなくてもいい、ってわけにはいかないもんなんです。
そのバランスを守る運用が必要なんだけど、こういう話でだんだんとバランスを制限側に持って行かざるを得なくなるんだが、はっきり言ってセキュリティはどこまでかけても金にはならないんで、悩ましい。
あと、exeの実行抑止はともかく、dllってブロックできたっけ?exeが署名付きなら、そこから呼び出す方はブロックできなかったような。
それに、あらかじめ信頼できるリストがあるならともかく、自分らで整備しなきゃなんないなら、使う方も不便、作る方も不便、メンテも大変で、可能性は低いから脆弱性は放置しましたで済まさないで欲しいと思うわ。
Re: (スコア:0)
使う方は許可されたバイナリ以外は全部不可で後から追加もできないから超絶不便だけど、アプリケーション開発者でもない限りそれで何ら不自由ないだろ
Re: (スコア:0)
> アプリケーション開発者でもない限りそれで何ら不自由ないだろ
んなわけない。