Naceri said he does not believe his exploit could be chained with other flaws to create something on the scale of a remote takeover attack, so for now the vulnerability would require the attacker to already have a local user account on the targeted machine.
関係ないユーザに迷惑をかけることで交渉してるクズ研究者 (スコア:-1)
こういう金貰えないからってごねてゼロデイ公表しちゃうクソ迷惑な研究者よくいるけど、
これのせいで被害にあった人達から訴えられればいいのになあ
Re: (スコア:0)
訴える先はMSと手法を実行した犯罪者でしょ。
Re: (スコア:0)
ユーザー人質に取っていい条件を引き出そうとしてるから、情報公開したやつも意味ランサムウェア的だと思うけど
脆弱性を大々的に利用するヤツが現れるのは容易に想像できるし、報奨金に不満があるならMSに詳細通報せずに傍観しておけばいい。
記事も読まずに文句だけ言ってるやつのほうがよっぽどクズ (スコア:0, 参考になる)
記事も読まずに文句言ってる君のほうがよっぽどクズだよ。
元記事には次のように書いてる。
Naceri said he does not believe his exploit could be chained with other flaws to create something on the scale of a remote takeover attack, so for now the vulnerability would require the attacker to already have a local user account on the targeted machine.
つまり「これのせいで被害にあった人達」が出ないようちゃんと配慮している。「クソ迷惑」とか「訴えられればいい」と言ってる君のほうが有害。話にならない。どうか二度とコメントを書き込まないでほしい。
Re:記事も読まずに文句だけ言ってるやつのほうがよっぽどクズ (スコア:5, 参考になる)
英語だから半可通は分からないと思って適当ぶっこいてんじゃねーぞ!
これは「ちゃんと配慮している」とは言わない。何の配慮もせず公開したあとに、当の研究者が「別に大したことにはならないと思う」と一方的に主張しているだけ。
実際には攻撃者が脆弱性に価値を感じてエクスプロイトの作成を進めている。被害者が発生したらこいつの責任であることには変わりない。
Microsoftには脆弱性の影響を殊更アピールして報奨金の少なさに文句を言いながら、一方では責任逃れのために影響は少ないと言い出す二枚舌野郎だよ。
だいたい「記事も読まず」って言うけど、その文章、ストーリーからリンクされている記事の中には書いてないよな?
ググったらSearchSecurity [techtarget.com]のインタビューの一部のようだけど、そこではこう続いている。
引用元も示さず、自分に都合の悪い文章は削ぎ落として提示するクズ野郎はどうか二度とコメントを書き込まないでほしい。
Re: (スコア:0)
+1
脆弱性は他の攻撃との組み合わせで利用するなんて常識を専門家が知らないはずはない。
この専門家の言い訳が言い訳になってると思うやつはセキュリティの知識がないことを告白しているも同じ。
Re: (スコア:0)
>エンドユーザーをフィッシングしてアカウントの認証情報を得
たら手遅れじゃねーか
Re: (スコア:0)
権限昇格されなければ被害はそのアカウントでとどまるけど、昇格されたらもっとひどいことになるからね。
Re: (スコア:0)
大抵のWindowsクライアントマシンなんて実質シングルユーザーなんだから十分悪さできるでしょ。たとえばランサムウェア仕込むんだったら別に昇格できる必要ないよね。
そうでなくてもフィッシングすること前提なら管理者権限持ってるアカウントをフィッシングすればよろし。
Re: (スコア:0)
権限昇格攻撃と防御に関する解説 [bs-square.jp]
はい論破
Re: (スコア:0)
君はただ権限昇格の必要がないケースを列挙しているだけだよね
マルチユーザーのWindowsクライアントマシンが侵害されてもいいの?
ネットワークを通じて横展開されてもいいの?
WindwosサーバやAD環境は?
いいわけないでしょ
Re: (スコア:0)
その記事本当にあてになる?
Bluekeepは権限昇格が主な問題じゃないしWannaCryとNotPetyaに関しては複数ある拡散手段の一つにしか見えないけど
Re: (スコア:0)
どうしてWindowsにユーザーアカウント制御(UAC)機構があると思ってるんですか
Re: (スコア:0)
UACはキンタマもランサムウェアも防げなかったよ。
Re: (スコア:0)
キンタマウイルスが流行したのはWindowsVista発売前、つまりUACがなかった頃なんだが?
Re: (スコア:0)
脊髄反射はいいからUACの仕組み的に防げたと思うかどうかを語ってよ
Re: (スコア:0)
同意
Re: (スコア:0)
たとえば、大多数の、職場に不満のある従業員は、already have a local user account on the targeted machine だよ。
「記事も読まずに」とか「よっぽどクズ」と言ってる君のほうが有害。話にならない。どうか二度と。
Re: (スコア:0)
「職場に不満のある従業員」でこのPoCや問題のあるインストーラを入手できる人なら、
もっと簡単な悪いことをやってると思いますよ?
Re: (スコア:0)
どんなに擁護しても金目的でゼロデイ公表したという事実は変わらんけどな
Re: (スコア:0)
つまり、ウィルスを実行しちゃうおバカさんが居たらSYSTEM権限まで奪われると。
ワームにはならんだろうが驚異として十分すぎるわ。
Re: (スコア:0)
そもそも多くのマルウェアは the user already have a local user account on the targeted machine. に対してフィッシングとかランサムウェアの実行をさせようとしてると思うの。
Re: (スコア:0)
信念のために人を殺すのは、金銭のために人を殺すより下等なことである。なぜなら、金銭は万人に共通の価値を有するが、信念の価値は当人にしか通用しないからである。(銀英伝 ヤン・ウェンリー談)
小説内のセリフだが、なかなか反論が難しい。
Re: (スコア:0)
セリフの正しさはともかく、一番信念を振りかざしているお前が言うな……としか言えない。
#二十歳までにヤン・ウェンリーにかぶれない人間は情熱が足りない
#二十歳を過ぎてヤン・ウェンリーにかぶれている者は理解が足りない。
Re: (スコア:0)
それってあなたの信念ですよね?
Re: (スコア:0)
つい先日GitHubにたかってた奴もいましたしねぇ
Re: (スコア:0)
Microsoftの杜撰なプログラミングのせいでワーム駆除に駆り出され、さらにライセンス料もきっちり取られるなんて、訴えてやろうかなって思ったことありません?
Re: (スコア:0)
Appleさん…
Re: (スコア:0)
それ、一生懸命更新しているのかもしれないけど、
件数だけ論ってもしかたなくないですかね・・・
> 米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出
> https://security.srad.jp/story/21/11/06/0222255/ [security.srad.jp]
> セキュリティ脆弱性 291 件は Microsoft 製品が 81 件で最も多く、Apple (24 件) と Google (22 件)、Cisco (11 件) が 10 件以上で続く。
81件のCVEリストアップするのと何が違うのだろう
Re: (スコア:0)
1種類のハード専用のプログラムでバグが10個出るのと、10,000種類のハードに対応するプログラムでバグが10個出るのでは全然意味が違いますよね。
キーを連打しただけでシステムが壊れるのと、ある複雑な操作をしたときだけシステムが壊れるのでは全然意味が違いますよね。
Re: (スコア:0)
それはあなたの基準ですよねw
一般にはCVSSが目安になると思いますので、そちらをどうぞ
Re: (スコア:0)
CVSSからじゃそのソフトウェアがポンコツなのかどうかは把握できないよ。
Re: (スコア:0)
それもあなたが選んだ基準ですよね
Re: (スコア:0)
うん?
じゃあ、他に良い基準あります?
言ってみただけですかw
Re: (スコア:0)
ポンコツなのかどうかを把握したかったの?
そうだなぁ、ポンコツといえばプリントスプーラーなんてすごいポンコツ度合いだと思うけどなぁ。
次から次へと脆弱性見つかるし、毎月のようにパッチが出てくるよね。
ここ2年で15回くらいパッチ出ていません?
Re: (スコア:0)
それで訴える奴はもう訴えてるんだよ。何年インターネットとWindowsで暮らしてきてると思ってるのよ。
Re: (スコア:0)
いかにもデカい、ヤバい穴と比して、たしかに放っておけないけど…レベルの弱点。
そこで「満額」払ってもらえるかっていうと、ディスカウント交渉があったりするんだと思う。
想像。