アカウント名:
パスワード:
OSの提供するAPIに脆弱性があるなら分かるんだけど、他は何とかならないものかな。ハードウェアのテレメトリ読み取りに特権が必要というのも何だし、こういうサポートツールでよくあるドライバのインストールでもトリガーを引いた以降は署名確認もインストール処理もOSの責務だと思うので、ソフトの作りの問題に収束していく気がするのだが。
DLLハイジャックは難しいねぇ同名dllがsystemディレクトリにあれば回避できるけど同名dllがsystemディレクトリない場合はカレントディレクトリから読んじゃう
現状は気をつけて作らないとdllハイジャック可能がビルドの標準だからパス指定とハッシュ確認しないとdll使えないのがビルド時の標準にして旧ビルドツールは起動不可とかしないとどうにもならんかと
/*古い人はstatic dllとしてカレントディレクトリに置いとけばおk新人はよくわからんけどdllカレントディレクトリに置いとけばおkみたいな*/
そんなのOSの脆弱性そのものじゃないか。仕様を変更しないMicrosoftが悪い。
でも実際に仕様変更したら互換性ガーって大騒ぎするんでしょ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
なかなか特権昇格の脆弱性は無くならないね (スコア:0)
OSの提供するAPIに脆弱性があるなら分かるんだけど、他は何とかならないものかな。
ハードウェアのテレメトリ読み取りに特権が必要というのも何だし、こういうサポートツールでよくあるドライバのインストールでもトリガーを引いた以降は署名確認もインストール処理もOSの責務だと思うので、ソフトの作りの問題に収束していく気がするのだが。
Re: (スコア:0)
DLLハイジャックは難しいねぇ
同名dllがsystemディレクトリにあれば回避できるけど
同名dllがsystemディレクトリない場合はカレントディレクトリから読んじゃう
現状は気をつけて作らないとdllハイジャック可能がビルドの標準だから
パス指定とハッシュ確認しないとdll使えないのがビルド時の標準にして
旧ビルドツールは起動不可とかしないとどうにもならんかと
/*
古い人はstatic dllとしてカレントディレクトリに置いとけばおk
新人はよくわからんけどdllカレントディレクトリに置いとけばおk
みたいな
*/
Re: (スコア:0)
そんなのOSの脆弱性そのものじゃないか。
仕様を変更しないMicrosoftが悪い。
Re:なかなか特権昇格の脆弱性は無くならないね (スコア:0)
でも実際に仕様変更したら互換性ガーって大騒ぎするんでしょ