アカウント名:
パスワード:
その意味でこれって本当に脆弱性なの?
ローカルであっても他の人が書き込み可能となっているフォルダでは、 自分が作成して内容が改竄されていないファイル(ファイルにACLを設定しても)であっても フォルダに偽のDLLを置かれると被害を受けるんじゃないでしょうか。
ローカルであっても他の人が書き込み可能となっているフォルダ
仕様を悪用する同僚に罠張られるのが脆弱性?権限のない外部からってなら脆弱性だけど。。。
しかもそのDLLがアンチウイルスすり抜ける前提だよね?最低環境でもMSのDefenderやEssentialを。
わかりやすい例えをするならAutorun.infの仕様は脆弱性というのか?ってことと同レベルの論議ってことでよろ。
同僚が簡単に罠を仕掛けられるのなら、同僚にパスワードを教えたようなものです。
シングルユーザー環境からネットワークも同様に扱うようになってマルチユーザー環境に近くなったということでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
そもそも (スコア:0)
ダブルクリックで開くこと自体に
リテラシの問題があるんじゃないのかなぁ。
そうさせないためのポリシィ設定してない環境とか。
信頼済みネットワーク内で刺されたらご愁傷様ってことで。
そうでないと、Side By Side以前の通例がネックになるんじゃない?
DLLバージョン依存アプリはEXEとともに
動作確認済みバージョンのDLL置いておくケースは珍しくなかったしさ。
それを無視してMSに対策しましたとかされても
弊害でまくりな気がするんだけど。。。だいじょうぶなん?
Re: (スコア:0)
ユーザーがダブルクリックしたとは限らないんじゃないですかねえ。
Re: (スコア:0)
アプリがユーザーの把握してない外部フォルダ開いたらってこと?
しかもWEBDAV/SMB/SSHFS/etc...で。
それってそのアプリの仕様自体どうなのよ?
ユーザーが指定した外部を
WEBDAV/SMB/SSHFS/etc...でつなぐなら、
ユーザーがそこは安全かもって許容してるわけだよね?
そこにウイルス仕込まれてってことなら、
DLLだろうがファイル自体だろうが食らうでしょ。
DLLロード前提の仕様なんだから、
接続先を把握・許容が必要なんじゃない?
どこにどんな方法でつながれるかわからないアプリって時点で、
お話にならないと思うんだが。。。
アプリ
Re: (スコア:0)
ローカルであっても他の人が書き込み可能となっているフォルダでは、
自分が作成して内容が改竄されていないファイル(ファイルにACLを設定しても)であっても
フォルダに偽のDLLを置かれると被害を受けるんじゃないでしょうか。
Re: (スコア:0)
仕様を悪用する同僚に罠張られるのが脆弱性?
権限のない外部からってなら脆弱性だけど。。。
しかもそのDLLがアンチウイルスすり抜ける前提だよね?
最低環境でもMSのDefenderやEssentialを。
わかりやすい例えをするなら
Autorun.infの仕様は脆弱性というのか?
ってことと同レベルの論議ってことでよろ。
Re:そもそも (スコア:0)
同僚が簡単に罠を仕掛けられるのなら、同僚にパスワードを教えたようなものです。
シングルユーザー環境からネットワークも同様に扱うようになってマルチユーザー環境に近くなったということでしょう。