セキュリティソフトウェアに潜む脆弱性 83
ストーリー by reo
餅は餅屋 部門より
餅は餅屋 部門より
ある Anonymous Coward 曰く、
セキュリティソフトウェアの脆弱性が未検証なものも含めて多数報告されている。この中には、遠隔でターゲットの PC を操作可能な危険度の高い脆弱性も含まれている。セキュリティメーカーであっても脆弱性の無いソフトウェアを作ることは難しいのだろうか。
- Trend Micro Internet Security Pro 2010 ActiveX extSetOwner Remote Code Execution (2010-09-03)
- McAfee LinuxShield <= 1.5.1 Local/Remote Root Code Execution (2010-08-27)
- Symantec AMS Intel Alert Handler Service Design Flaw (2010-07-28)
- Trend Micro Titanium Maximum Security 2011 0day Local Kernel Exploit (2010-11-01)
- avast! <= 5.0.594 license files DLL Hijacking Exploit (mfc90loc.dll) (2010-08-25)
- Avast! 4.7 aavmker4.sys privilege escalation (2010-04-27)
- AVG Internet Security v9.0.851 Local Denial of Service Exploit (2010-11-02)
そんな (スコア:3, すばらしい洞察)
>セキュリティメーカーであっても脆弱性の無いソフトウェアを作ることは難しいのだろうか。
……いや、そんな当たり前のことを言われても。
やれるんならみんなやってますって。
Re:そんな (スコア:3, すばらしい洞察)
>>セキュリティメーカーであっても脆弱性の無いソフトウェアを作ることは難しいのだろうか。
>……いや、そんな当たり前のことを言われても。
>やれるんならみんなやってますって。
ソフトウェアは、間違いを侵さない。 間違いを犯すのは、人間である。
ソフトウェアを作る人間が間違いを犯している。
だからソフトウェアを作るソフトウェアを作ろう。
もちろんそのソフトウェアを作るのが人間だと間違いが出る。
だからソフトウェアを作るソフトウェアを作るソフトウェアを作ろう。
もちろんそのソフトウェアを作るのが人間だと間違いが出る。
だからソフトウェアを作るソフトウェアを作るソフトウェアを作るソフトウェアを...。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re: (スコア:0)
Re:そんな (スコア:1, おもしろおかしい)
神が作ったヒトは間違いを犯す存在なのに、神が作るソフトウェアは間違いを犯さないと?
# ネ申の作ったモノはどうだろうか?
# だけなのでAC。
Re:そんな (スコア:1)
お前、この世界初の大失敗をしでかして、罰ゲームとして管理者をやらされている「神」がバグを生まないわけ無いだろう?!
そもそも聖書にだって書いてあるじゃないか。
「光…あれっ??!」
創世ごときで、疑問符が出ちゃうような神様なんて空前絶後ですよ。まったく。おかげで私までこの世界のデバッグに駆り出される羽目に…
fjの教祖様
Re: (スコア:0)
そもそも、その辺の技術者と違って緊急対処ですら僅か7日で休んじゃう様な奴だし。
Re:そんな (スコア:1)
「7日目には休んだ」んだから「僅か6日」で休んじゃうような奴なんだ…
fjの教祖様
Re:そんな (スコア:1)
リリースした後放置と考えられなくもない。
いや、実際にはサーバーワイプしてなかった事にしようとしたり、息子を火消しに送り込んだりと、そこそこアフターケアしてる方か。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re:そんな (スコア:1)
サーバーワイプというよりは
と叩いちゃったって奴だし。え?虹??あぁ、あれは リストア 完了のサイン。
ドツキ廻して「もう二度としません、ごめんなさい」と言わせたんだが、なぜか「二度と全ての生物を滅ぼすことはない」という誓いになってやがるし…(人間の認識能力関連のバグはこの後結構直したんだけどなぁ。まだまだ残ってやがる)。
「ユダの福音書 [wikipedia.org]」に書いてあるように、ナザレのイエスが言ってたのは
「は? 俺があのヤハウェの息子?! かーーー、チャンチャラおかしい」
だったわけだし。
という事からも判るように、アフターケアしているのはトラブルを引き起こした当神ではありません。
# つーか、誰? あの馬鹿に root のパスワード教えちゃった奴は…
fjの教祖様
Re:そんな (スコア:1)
Re:そんな (スコア:2)
いや、そういうことではないでしょう。もちろん完全なものなんて机上の空論だけど、より完全に近くなるような設計手法はありえるでしょ。入出力以外の部分はサンドボックス構造にしておくとか、TrendMicroが採用したようにクラウドを応用するとか。
もちろん、セキュリティソフトは裏方なので、パフォーマンスとのせめぎ合いになるから、採用できる手法に制限はあるけどさ。
Re: (スコア:0)
Re:そんな (スコア:2, おもしろおかしい)
おいおい、何言ってるんだ?
クラウドってのはとにかく凄いんだ。
今はクラウドにしておけば間違いない。
クラウドだけに今最も神に近いんだよ。
Re: (スコア:0)
Re:そんな (スコア:1)
FFの主人公であることに気づける人、どれくらい居るんだろ?
Re: (スコア:0)
というか,セキュリティベンダの,一般的な意味でのソフトウェア開発能力は平均以下だと思うけどな.
(ウィルス検出技術などは別の話ですよ)
それなのに,システムの深いところに介入して常時動作するから問題が大きくなる.
# ウィルス対策ソフトに医薬品みたいな臨床試験を行なったら,どういう結果出るか興味深いところ
Re: (スコア:0)
スマンテッシーとかいうところ以外では、そんなに悪い作りの
モノには出合ったことが無いです。
スマンテッシーは酷かった。
バグを直すことができないので、バグが発動するのを定期的にチェックしていて、
発動していたらプログラム自体を再起動するように改造しちゃったりとか。
Re:そんな (スコア:1)
OS起動ができなくなる程度は何度となくやっているものですよ。
PCのサポートやっていると、自分のPCがやられずとも顧客の環境でだいたい
トラブルのトレンドが分かっちゃいます。
まぁPCの環境なんて千差万別なんで、その全てで問題がないプログラムを作るのは大変という
話もありますけどね。
Re: (スコア:0)
1日1回は編集者を叩かないと気がすまないのかね。
Re: (スコア:0)
いやいや、彼は編集者がhylomとそれ以外の場合で態度が如実に違うので、この程度は「叩き」の部類に入りません。:-)
Re:ソフトウェア業界は幸せな世界 (スコア:2, すばらしい洞察)
修正はちゃんと出てるはずですし、対応が悪ければ叩かれてるかと思いますが。
ソフトウェアの欠陥、とくに脆弱性の場合は、悪意ある入力に耐えうるようにできていなかったというのが多いです。
つまり、他の業界で例えると、卵を入れても爆発しない電子レンジを作れなかった。巨人を乗せても壊れないベビーカーが作れなかった。
などなど。そういうことに当たるのです。
他の業界では、注意書きという逃げ道が通用しますが、ソフトウェアでは「正常なファイル以外は読み込ませないでください」なんて注意書きしたところで、やっぱり脆弱性として扱われます。
1を聞いて0を知れ!
Re:ソフトウェア業界は幸せな世界 (スコア:1)
悪意ある入力に対応するソフトが、悪意ある入力に耐えうるようにできていなかったら問題だろ。
the.ACount
Re: (スコア:0)
>なんて言い方がまかり通ってるのは、ソフトウェア業界だけ。
なんて考えているのは所詮他の業界を知らないだけ
どこの業界だって大して変わらないよ:-p
それにソフトウェア業界だけがミスをしても開き直っていると思っているのかな?
Re:ソフトウェア業界は幸せな世界 (スコア:1)
ソフトウェア業界だけが「未完成品や不良品を売り出して当たり前」と開き直っているのが当然な風潮であるのは事実でしょう。
完璧じゃないとか後から不具合が見つかったってレベルじゃなく、
「あとからアップデートすればいいや」と、あからさまに実用に問題がある欠陥品や未完成品を売り出しているところがいろいろと。
他の業界じゃ、普通はそうじゃない。初期不良は返品や交換の対象なのが一般的ですよ。
問題が確認されて隠蔽などの事件はありますが、それはソフトウェア業界でも同じ事。
ψアレゲな事を真面目にやることこそアレゲだと思う。
土台 (スコア:2)
Re:土台 (スコア:2)
それは別問題。OSのセキュリティホールはOSの問題。通常はどちらに原因があるかによって区別される。
OSのベンダーがパッチを用意するまでの間、セキュリティソフトのベンダーが対応することはあるだろうけど。
そもそも、 (スコア:2, すばらしい洞察)
Re:そもそも、 (スコア:2, 興味深い)
ウイルスバスター2011とかすげーぞ?
何せクラウドにウイルスのデータベースを置いてるから、ネットにアクセスできないとウイルススキャンもままならない。
だからウイルスに感染したっぽいときに、LANケーブル引っこ抜いてからウイルス検索かけようとしたら「パターンファイルが読めないでござる」ってなるんだぜ?
もはやあれは「メールの添付ファイルとかなんちゃら~.txt .exeとか開くうっかりさんが言い逃れのために使うソフト」以上のものじゃない気がするなぁ
セキュリティが必要な用途では、セキュリティソフトは使ってはいけない (スコア:2, 興味深い)
その手のソフトはPC上のあらゆるファイルにアクセスできる権限と、ネットワークを通じて通信する権限を持つ、トロイの木馬にはもってこいの存在ですから。
部門名 (スコア:2, 参考になる)
お昼からずっと部門名が気になってしょうがないんですが・・・・
この場合、医者の不養生か紺屋の白袴じゃないかなぁと。
誰も指摘しないんで、自分がなにか勘違いしてるんじゃないかと激しく不安です。
またSecurity Essentialsの安全性が証明されました (スコア:1, おもしろおかしい)
Re:またSecurity Essentialsの安全性が証明されました (スコア:1, すばらしい洞察)
Re: (スコア:0)
Re: (スコア:0)
Re:またSecurity Essentialsの安全性が証明されました (スコア:1)
何時頃なんでしょう?
今のところそんな症状がでてないので気になったり.
ただまぁ.MSSEはリアルタイム保護がかなり重めなのでそれが毒といえば
毒ですが.
Re: (スコア:0)
> 何時頃なんでしょう?
時刻ならコメントヘッダに記録されていますよ。
Re: (スコア:0)
おそらく、マルウェア定義の更新でしょう。
1・2分で終わりますが、かなりのIOとCPUを食いつぶします。
Re: (スコア:0)
Re: (スコア:0)
2GBメモリE8500 CPUですが余裕です
静的コード解析には限界がある (スコア:1, すばらしい洞察)
静的コード解析 - Wikipedia [wikipedia.org]
>実行時エラーを全て検出することは不可能であることが証明されており、任意のプログラムが正しく動作するかエラーになるかを判定する機械的手法はない。
特にセキュリティソフトウェアはカーネルパッチングを行うので一層自動解析による脆弱性の発見は難しいでしょう。
けども、これからも形式検証は進化するはずなので、そのうち解決される気がします。
Re:静的コード解析には限界がある (スコア:2)
この辺、タレコミどうすればいいんだろう? (スコア:1, 興味深い)
ノートンのとある機能にバグがあって2年ぐらい前から言ってるけどやっぱり直っていない。ちょっとセンセーショナルに言うと「2ちゃんねるにメアドを晒すバグ」なんですけどね。
本国に直接言ってやるぅぅと思ったんだけど、米国の会社に2ちゃんでメアドを晒すなんて言ってもわかってくれないうえに、英語版だと発動しない(´・ω・`)
Re:この辺、タレコミどうすればいいんだろう? (スコア:1, すばらしい洞察)
センセーショナルに2chのセキュリティ板にタレコむ。
各セキュリティソフトの信者とも工作員ともつかない連中が常に戦ってるような板だから、
あっという間に騒ぎが広がって、ノートンも対応せざるを得なくなるだろう。
#さすがにAC
Re: (スコア:0)
ESET民大勝利…か? (スコア:0)
まさかForefrontより重くて行儀の悪いMcAfeeVSEを使ってる情弱なんてスラドにはいないよね?
Re:ESET民大勝利…か? (スコア:1)
ESET は定期的にやらかしてくれる印象があるからなあ。最近だとこれ: ウイルス定義データベースの不具合について [canon-its.jp]
ルーター、セキュリティソフト、みんな怖い (スコア:0)
最近のルーターも、びっくりするくらい多機能になっていて、なんか問題が起きそう。
セキュリティソフトも怖いから、中国製なんか絶対使えない。セキュリティソフトって、PC内部アクセスし放題だしね。
最近も中国内で、QQ(中国で流行のチャットソフト、skypeのようなもの)がユーザーのパソコン内部を探っていると噂が出て大問題になっている。本当かどうかは闇の中だが、あれだけユーザー数が多いソフト、中国政府が影響力行使して、ユーザー監視やらせているとしてもおかしくない。
ウイルス対策は、MSセキュリティエッセンシャルとGPLソフトのClamwin。これならたぶん安全だろ。
ファイアウォールは、Pctoolsのやつ。これは分からないが、やはりcomodoのほうがいいかな。
Re:ルーター、セキュリティソフト、みんな怖い (スコア:1)
たぶん安全だろ……って、すごく無責任な発言ですよねぇ。まぁあなたは悪い人だとまでは言わないけども
私ならその2本は人にはあまり薦めない。
個人的には、一応自宅PCの1台にはMicrosoft Security Essentialsが入っているが、ウィルスが入ってこないので
いいとも悪いとも言いがたい。Clamwin、Pctools、comodoは使っていない。
Microsoft Security Essentialsは評判はまあ悪くはないし、いくつかのセキュリティソフトの評価団体のテストでも
検知率は悪くない。上位に食い込んでいることもある。無料で使えるソフトの中では割とベターな選択かも。
でも最高のセキュリティを保証してくれるわけではないので、お金のない人以外にはお勧めしない。
ClamwinはHDD内にウィルスがないかスキャンする機能はあるけど、リアルタイムでの検知機能がないのかな。
これだと感染してから駆除するまでにタイムラグが出る可能性がある。
また、いくつかの調査結果を見た限りでは、検知率もかなり低いので、Clamwinだけに頼るのは危険じゃないかな。
補助的に使うにはいいとは思う。
Pctoolsは見たことがなかったので調べてみたら、2011年度版から日本市場参入のようですね。
操作は簡単らしいものの、電話サポートがないようなので、自分でなんとかできない人にはお勧めできない。
しかしベテラン向けかというとそれほどずば抜けた性能でもないようで、個人的にはまだ今年は使いたくはない。
2~3年後はどう化けるか分からないけど、逆にあっさり日本市場から撤退しちゃったりするかもなので
油断はできない。
comodoについては、長文書いて疲れたのでパス。
Re:ルーター、セキュリティソフト、みんな怖い (スコア:1, おもしろおかしい)
QQとセキュリティソフトの戦いと言うと、こんな話も。
中国でQQと360の戦い激化、一部萌え化 [livedoor.jp]
だめだ。中国もダメな方向に腐り始めてるw
通行止め (スコア:0)
通行止めで対応しているだし無理じゃね?
ファイアウォール機能ついてても、
必要な穴開けて、あと全塞ぎって、
ルールを自分で入れなきゃならないんだし。
VBとKISとかもそんなかんじだし。
開発側の価値観や技術力ってよりも、
OSのとってきた流儀、てよりも、
物臭コンシューマー向けだから仕方ないんじゃないかなぁ。