アカウント名:
パスワード:
お客さんにそんなこと頼みようがねーよ・・・まず話も伝わらないだろうし・・・
ファイルのアクセス権がおかしいなんて事例は今までも数限りなくあったと思うが…しかも脆弱性の内容としては簡単な部類だと思うが、これまでは説明どうしてたんだ?他の脆弱性も一から説明してたわけじゃ無かろう?
システムの復元ポイントをすべて削除させてくれなんて、今までにない過激な対応では?
運用上、システムの復元にそんなに頼ってるの?10じゃデフォルトで無効化されてなかったっけ。
なにかといえば焼畑擁護
デフォルトで有効だよ。素人が使うWindowsマシンで復元が無効化だと、変なことされたら救えないだろ……。
デフォルトで有効だよ。
どこがだ?https://www.google.com/search?q=%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E... [google.com]
変なことされたら救えないだろ
リフレッシュ/リセット機能使うだけだろ
リモート接続させてもらうわけにはいかないんですか?もしくはバッチファイルを送って管理者権限で実行してもらうとか。下手の考え休むに似たりかな?(^^;
この脆弱性、結構容易に悪用できるかなり危険なもののように思えます。システム管理者さんとしては頭が痛いところでしょう。
レジストリのファイルって、ファイルそのものにアクセス権が設定されている以外にも、レジストリ内の項目毎にアクセス権が設定されていて、通常は自分にアクセス権がある項目しかエクスポートできないし、自分にアクセス権のある項目しか作れない。
まあ、ファイルレベルで入手してしまえば、設定されているアクセス権を無視して内容を参照することも可能だから、危険であることには変わらない。Linuxでいうと/etc/shadowがあるパーティションをダンプ出力して、ディスクイメージから/etc/shadowを読みだすようなものでもある。
Microsoftがレジストリクリーナーを禁止する理由は、レジストリ内の項目毎にアクセス権が設定されているためにすべての項目がダンプ出力できるわけではなく、そのうえ現在の権限で読める項目だけで最適化しようとするから、レジストリの内容の整合性を破壊するからである。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
最悪自分とこはそれで対応するとしても (スコア:0)
お客さんにそんなこと頼みようがねーよ・・・
まず話も伝わらないだろうし・・・
Re: (スコア:0)
ファイルのアクセス権がおかしいなんて事例は今までも数限りなくあったと思うが…
しかも脆弱性の内容としては簡単な部類だと思うが、これまでは説明どうしてたんだ?
他の脆弱性も一から説明してたわけじゃ無かろう?
Re: (スコア:0)
システムの復元ポイントをすべて削除させてくれなんて、今までにない過激な対応では?
Re: (スコア:0)
運用上、システムの復元にそんなに頼ってるの?
10じゃデフォルトで無効化されてなかったっけ。
Re: (スコア:0)
なにかといえば焼畑擁護
Re: (スコア:0)
デフォルトで有効だよ。
素人が使うWindowsマシンで復元が無効化だと、変なことされたら救えないだろ……。
Re: (スコア:0)
デフォルトで有効だよ。
どこがだ?
https://www.google.com/search?q=%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E... [google.com]
変なことされたら救えないだろ
リフレッシュ/リセット機能使うだけだろ
Re: (スコア:0)
リモート接続させてもらうわけにはいかないんですか?
もしくはバッチファイルを送って管理者権限で実行してもらうとか。
下手の考え休むに似たりかな?(^^;
この脆弱性、結構容易に悪用できるかなり危険なもののように思えます。
システム管理者さんとしては頭が痛いところでしょう。
Re: (スコア:0)
レジストリのファイルって、ファイルそのものにアクセス権が設定されている以外にも、レジストリ内の項目毎にアクセス権が設定されていて、通常は自分にアクセス権がある項目しかエクスポートできないし、自分にアクセス権のある項目しか作れない。
まあ、ファイルレベルで入手してしまえば、設定されているアクセス権を無視して内容を参照することも可能だから、危険であることには変わらない。Linuxでいうと/etc/shadowがあるパーティションをダンプ出力して、ディスクイメージから/etc/shadowを読みだすようなものでもある。
Re: (スコア:0)
Microsoftがレジストリクリーナーを禁止する理由は、レジストリ内の項目毎にアクセス権が設定されているためにすべての項目がダンプ出力できるわけではなく、そのうえ現在の権限で読める項目だけで最適化しようとするから、レジストリの内容の整合性を破壊するからである。