アカウント名:
パスワード:
年金情報“流出” 不審メールの内容入手日本テレビ系(NNN) 6月3日(水)5時29分配信http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかけるhttp://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。
ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。
まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…
ヘッダーを細工してなくても、LZH対応してないものもセキュリティソフトもあるようです。exe送る時はzipはだめですけどlzhにしたら大丈夫ですといわれて・・・え?って思ったけど、普通に利用してるみたいだw
LZH圧縮自体が危険(アンチウイルスソフトが中身を検知できない)なので、dllの使用の有無は関係ありませんよ。
ウイルス対策ソフトが検知できないんじゃなくて、しないからですよ?dll作者はソフトメーカーに検知するように依頼を出しおていたはず。
問題のあるヘッダを含んだアーカイブもきっちり扱えるアーカイバやライブラリがソースの形で公開されていれば話は違ったのかもしれない、と思わなくもない。さすがにバイナリ配布されてるものをウィルス対策ソフトに組み込むのはアレだろうし。
一番近いのがfor Unixのautoconf版だけど、それも手を入れないと使えないんだっけか。普及率と手間を考えたら割に合わないと判断されたんじゃなかろーか。
デマもいい加減にしてください。できるのもありますよ。全部ができないという話ではなかったはずですが。日本年金機構ほどのところでその評価をやっていないとは思えないし、やっていないなら大問題でしょう?
>日本年金機構ほどのところでその評価をやっていないとは思えないし
やっていないほうにコーヒー一杯くらい賭けてもいいと思う。なぜなら日本年金機構だから。
ここでは無いが、評価結果を歪曲する評価報告書、拒否してケンカ別れならある。トラブった時の責任を取ってくれることを、文書で要求したらね。
案の定トラブってたので正解なんだろうけど、やる気一気に無くなったな。
できないものがあるから危険なんですよ。
そもそも年金機構がマトモだったらメールで個人情報が大量流出するような酷いシステムおよび運用にしてないでしょうがもうアンタは恥晒すだけだから黙っておいたほうがいい
結局大手が対応しないって言い切っちゃってるからね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re:LZH書庫は開いちゃダメ (スコア:0)
意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。
Re: (スコア:0)
ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。
まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…
Re: (スコア:0)
ヘッダーを細工してなくても、LZH対応してないものもセキュリティソフトもあるようです。
exe送る時はzipはだめですけどlzhにしたら大丈夫ですといわれて・・・え?って思ったけど、普通に利用してるみたいだw
Re: (スコア:0)
LZH圧縮自体が危険(アンチウイルスソフトが中身を検知できない)なので、dllの使用の有無は関係ありませんよ。
ウイルス対策ソフトが検知できないんじゃなくて、しないからですよ?
dll作者はソフトメーカーに検知するように依頼を出しおていたはず。
Re: (スコア:0)
問題のあるヘッダを含んだアーカイブもきっちり扱えるアーカイバやライブラリがソースの形で公開されていれば話は違ったのかもしれない、と思わなくもない。さすがにバイナリ配布されてるものをウィルス対策ソフトに組み込むのはアレだろうし。
一番近いのがfor Unixのautoconf版だけど、それも手を入れないと使えないんだっけか。
普及率と手間を考えたら割に合わないと判断されたんじゃなかろーか。
Re: (スコア:0)
デマもいい加減にしてください。できるのもありますよ。全部ができないという話ではなかったはずですが。日本年金機構ほどのところでその評価をやっていないとは思えないし、やっていないなら大問題でしょう?
Re:LZH書庫は開いちゃダメ (スコア:2)
>日本年金機構ほどのところでその評価をやっていないとは思えないし
やっていないほうにコーヒー一杯くらい賭けてもいいと思う。
なぜなら日本年金機構だから。
Re: (スコア:0)
ここでは無いが、評価結果を歪曲する評価報告書、拒否してケンカ別れならある。
トラブった時の責任を取ってくれることを、文書で要求したらね。
案の定トラブってたので正解なんだろうけど、やる気一気に無くなったな。
Re: (スコア:0)
できないものがあるから危険なんですよ。
Re: (スコア:0)
そもそも年金機構がマトモだったらメールで個人情報が大量流出するような酷いシステムおよび運用にしてないでしょうが
もうアンタは恥晒すだけだから黙っておいたほうがいい
Re: (スコア:0)
結局大手が対応しないって言い切っちゃってるからね