パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Skypeのアップデート機能にDLLハイジャッキング脆弱性が見つかる」記事へのコメント

  • elevatedなプロセスが、一般ユーザが書き込めるフォルダに実行ファイルを書き出して実行しちゃうもんだから、
    そのタイミングで実行ファイルを置き換えればelevateされた権限で実行できるってやつだよね。

    Microsoftがすぐに修正しないのは、「UACはsecurity boundaryではない」(よって脆弱性ではない)っていういつもの立場からだろう。

    原因としては、高権限プロセス用の一時フォルダが、標準で存在しないのが問題なのかなあという気がする。

    #「UAC security boundary」でググったら「UAC is a security boudanry」っていうTwitterアカウントが見つかって笑った。

    • by Anonymous Coward

      やっぱりマイクロソフトは標準ユーザーで使わせることをあきらめたのか。標準ユーザーの場合、管理者権限を持つプロセスは別アカウントで動作して一時フォルダーのパスも独立しているし標準ユーザーからはアクセスできないから問題ないんだがな

      • by Anonymous Coward on 2018年02月18日 15時18分 (#3363414)

        「elevated」の意味分かってるのかい?
        標準ユーザーのみで管理を完結させたいと言いたいのならそれは標準ユーザーが管理者ユーザーである事と何の違いもない。

        親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...