アカウント名:
パスワード:
で見ただけで感染するぞ!って触れ込みじゃなかったっけ?しょぼくなってないか
これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。
TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う
JRE入れてる奴は情弱とかいうなよー、JDKもいれてるよー。
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。
これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
これは「悪魔の証明」だ
断定は行き過ぎだがそういう前提で行動する方が安全だよ。
まさにその通りで、個人が最悪の事態を想定するのと、考えられる最悪の事態をさも事実であるかのように喧伝するのは、全く別の問題なんだよ。
「ゼロデイ攻撃の可能性があるから気をつけてね」というだけなら(どう気をつければいいかって話は置いといて)有益な情報の部類だろう。でも、「ゼロデイ攻撃だ!」って未確定なのに(ついでに結果論で言うなら間違った)情報を流すのは、「vvvウイルスなんてデマ」「アフィリエイトブログが流してる」「中国人による日本人を狙った攻撃」という類の情報と同程度に有害だよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
あれ?Flashの脆弱 (スコア:0)
で見ただけで感染するぞ!
って触れ込みじゃなかったっけ?
しょぼくなってないか
Re:あれ?Flashの脆弱 (スコア:0)
これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。
Re:あれ?Flashの脆弱 (スコア:2)
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。
ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。
TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う
Re: (スコア:0)
JRE入れてる奴は情弱とかいうなよー、JDKもいれてるよー。
Re: (スコア:0)
これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?
Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。
これは「悪魔の証明」だ
Re: (スコア:0)
断定は行き過ぎだがそういう前提で行動する方が安全だよ。
Re:あれ?Flashの脆弱 (スコア:2, すばらしい洞察)
まさにその通りで、個人が最悪の事態を想定するのと、考えられる最悪の事態をさも事実であるかのように喧伝するのは、全く別の問題なんだよ。
「ゼロデイ攻撃の可能性があるから気をつけてね」というだけなら(どう気をつければいいかって話は置いといて)有益な情報の部類だろう。
でも、「ゼロデイ攻撃だ!」って未確定なのに(ついでに結果論で言うなら間違った)情報を流すのは、「vvvウイルスなんてデマ」「アフィリエイトブログが流してる」「中国人による日本人を狙った攻撃」という類の情報と同程度に有害だよ。