パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティソフトに含まれるファイルを悪用したマルウェア」記事へのコメント

  • すべてのモジュールは正しく署名されており

    これエンドユーザにどうしろと?
    署名が正しいから信頼してインストールするはずだよね?
    大本の鍵が割れたってことならエンドユーザは信頼性ってものを何に頼ればいいのかな?

    • Re: (スコア:3, 参考になる)

      by Anonymous Coward

      鍵は割れてないでしょ。署名済の正しいプログラムが参照する設定ファイルを書き換えているだけ。
      設定ファイルには署名されていないのだから署名の信頼性が低下した訳じゃなくて、
      署名無しの設定ファイルを元に特定のサイトに飛ばしてしまう挙動の穴を突かれたと言うこと

      • 挙動の穴を攻撃されたとか言うと、新しい攻撃方法みたいに見えちゃうから問題な気がする。
        これって単純に、やっちゃいけない電子署名の運用やってたって話だよね。

        バイナリは署名してました、バイナリが使う設定ファイルは署名してませんでしたっていう単純な話。
         # メール本文は署名してました、添付ファイルはしてなかったので差し替えられました、レベルの話:-P

        パッケージ全体を署名すれば良かっただけ。
        もしアップデートがあるなら、それもまるまる署名すれば良いだけ。
         # まあ、んなことエンドユーザは気をつけようがないとは思うので難しい問題ですが:-(

        親コメント
        • 設定ファイルやデータなどにも署名が必要なのは分かるが、しかし、それを徹底するのは難しい。
          今回は悪用されたのがセキュリティソフトだったので注目されているが、このパターンの穴は至る所にあると思う。
          • by Anonymous Coward

            このニュースでアイデアが広がっちゃったからね。
            暫くしたら「オンラインヘルプを見ようとしたら何故かバイアグラの販売に」とか出て来そうな。

            • 別のソフトですが、インストーラの脆弱性としてCVEに登録されていた内容をみてビックリしました。

              インストール先のパスに、インストーラがインストールしようとしているファイルと同名で、より新しいタイムスタンプのファイルがすでにある場合には、インストーラがそれを上書きしない。

              これがセキュリティ・ホールとして扱われるというのです。
              悪意のあるプログラムによって悪意のあるファイルを先に配置されていると、それをそのままソフトの一部として実行してしまう、具体的にはhtml形式のヘルプファイルに悪意のあるスクリプトを仕込まれるということなのです。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...