Windows Mediaに脆弱性、動画を再生するだけで意図しないコードが実行されるおそれ 24
ストーリー by hylom
迅速なアップデートを 部門より
迅速なアップデートを 部門より
あるAnonymous Coward 曰く、
1月11日、マイクロソフトがWindows Mediaにおける脆弱性2件を公開した。問題が発生するのはWindows XP/Vista/7およびServer 2003/2008。
公開されたのは、Windows Multimedia LibraryおよびDirectShowの脆弱性で、前者は意図しないコードの実行を引き起こす「緊急」の深刻度、後者は「重要」の深刻度という。ともにすでにセキュリティ更新プログラムがリリースされている。
2012年1月のセキュリティ情報によると、「特別に細工されたメディア ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります」とのこと。
ふむ。 (スコア:2)
先月の定例アップデートにもWindows Media の脆弱性により、リモートでコードが実行される (2648048) [microsoft.com]って深刻度「緊急」のパッチはあったし、年に数回はあるっぽいのだけれど今月のは何か特別に危ないのかしら?
Re:ふむ。 (スコア:2)
Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
WebブラウザがDirectXでメディアファイルを処理するってのは良くある事なので、Webページを見るだけで感染って事態が発生します。
つまりはGENOウィルスの悪夢ですね。アレは主にAdobeのFlashとかPDFでしたが、Webブラウザがプラグインなどに外部委託した先で穴が開くって意味では同じタイプです。
ユーザ権限の昇格だのLAN経由でリモートコード実行だのなんてのはNATが全盛の今では懐に入られない限りほぼ無意味なハズですから、Webブラウザなどで"見るだけ"で発動する脆弱性が危険視されるのは当然でしょう。
# ・・・そろそろIPv6で直接ネットに晒される時代が再来するかもしれませんけど、それはそれ
Re:ふむ。 (スコア:2)
> Windows MediaというよりDirectShow周辺ってのが問題なのだと思います。
だとするとDirectShowの深刻度が「重要」って可笑しくない?
重要のほうが緊急よりは深刻度、下ですよね?
Re: (スコア:0)
「緊急」は、悪用されるとユーザが特に何もしなくても感染し、
他にも広げて蔓延する可能性があるもの。
「重要」は、悪用されるとユーザの情報が抜かれたり、
壊されたり、あるいは動作に支障が出るもの。
「重要」は緩和策・回避策があるもの、かな。
Re:ふむ。 (スコア:1)
深刻度の指標は攻撃の内容ではなく、攻撃の容易さによるものです。
概ね次のように分類できると思います。
・「緊急」…ユーザーの(能動的な)介入無しに攻略コードを実行させられるもの
・「重要」…ユーザーを攻略コードに誘導し実行させることで攻撃が成立するもの
・「警告」…攻略コードを実行させるために複数の条件が必要なもの、または攻略対象がデフォルト無効なもの
・「注意」…攻略コードの実行は通常の状態では行えないもの
(参考 MSRCマイクロソフト セキュリティ情報の深刻度評価システム [microsoft.com])
今回の修正対象は「Windows Media Libraryの脆弱性 (CVE-2012-0003)」と「DirectShowの脆弱性 (CVE-2012-0004)」の2つで、攻撃の容易さ的には共に「緊急」に値するものですが、DirectShowの脆弱性の「問題を緩和する要素」には
Windows Media Player 10、Windows Media Player 11、および Windows Media Player 12 で、WMP セキュリティ設定によりキャプションの表示が既定で阻止されます。
とあり、攻撃を成立する要素のひとつ(であると思われるこの設定)がデフォルト無効で成立しないため、深刻度評価が1段下がっているようです。
もっとも、前者(Windows Media Library)の問題によってブラウザからMIDIファイルを読み込んだらあぼーん的なことになるのは想像に難くないので、パッチは早めに当てるべきでしょう。
Server OSでもWindows Mediaが使えるなんて (スコア:0)
使うとしたらどんなことに使うんでしょうかね?
Windows Mediaエンコーダとか使ってサーバとかできるんですかね
Windowsにはおかしなユーザーもいっぱいいるよ (スコア:1)
WidnowsServerをデスクトップOSとして使うという
珍妙なスレが2chにあったりします。
どこに利点があるのかは知りません。
が、こういう人のためにも、対象になりうるなら
Windows Serverも書いておいてあげるべきなんだと思います。
彼らは市販品だったら安心して使えると盲信しているのですから。
なお、Windows Home ServerのDSP価格がダンピングぎみに安いので
これをデスクトップOSとして…という人もいたようですが
こっちは、デスクトップOSとしての利用はライセンス違反なのだそうです。
V120搭載液晶が割れたノートPCのジャンクが手に入ったので
これでUbuntu Serverでも動かしてみようかと思う今日このごろ。
WHSの価格設定はどう見てもLinuxあればこその低価格だなぁ…
Re:Windowsにはおかしなユーザーもいっぱいいるよ (スコア:1)
Re: (スコア:0)
それほど珍妙でもない。開発者なら構成したくなるオプションの一つ。
#Server Editionでなければ有効化できない機能や、サーバーでしか実行できないプログラムを直接デバック出来るとか。
#HYPER-Vが使えるのも利点。
ServerでWindows Mediaが実行できるメリットについても、あまり知られていないけどWindows Media Serviceがある。
音声や動画の流入・流出を管理できる。
もちろん、バックグラウンドとして、別コメでも指摘のあったDirect Show Filterが使われる。
今はどうかわからないが、一時期アダルト動画サイトなんかこれで自動配信するのが流行ってた。
Re: (スコア:0)
スレ元の基本精神は、開発者の利便ではなくて、
学生ならば Server Edition は無料(たしか)
Server Edition を使っているとギークっぽい
がメインだと思われます。
実際問題、それなりにドメインを構築していて、Server Edition の管理をしている人が会社や自宅で端末として使うためとか、それで動くプログラムとかの開発している人でないと、デスクトップ用途として使う意味はほとんどない。
ドライバも含めて実際一ユーザーとしては不便ばかりですよ。ある意味 windows ギークであるほど不便に思う。動かしたいソフトや周辺機器が動かないことがめっちゃ多いです。
Re: (スコア:0)
昔、Windows 2000 Server をデスクトップ用として使ってたことがある。
あの頃は何か合理的理由があったんだよな…。ミラーリングしたかったんだったかな? 覚えてないけど。
コードもデスクトップOSとほぼ同じだったはずで、周辺機器やアプリでの非互換を意識することはありませんでした。
ウイルス対策ソフトの選択肢が少ない&高価なので、マシン更新のタイミングでサーバOS使うのはやめちゃいましたけど。
Re: (スコア:0)
確かに動かないソフトは多いけど、それはアプリがわざと制限しているのが大半(サーバー版バックアップソフト買ってねとか)。
ドライバも「標準」で入っていないものは多いけど、最近はマイナーなハードウェアは駆逐されてるから、ジェネリックなドライバを入手すれば動く。x64ドライバも拡充されつつあるし。
もちろん、デスクトップパフォーマンスは悪い(Aeroが遅いとか)はあるけど、使用に足る理由はあるよ。
そもそも、普通のユーザーがServer Editionを正規に入手とかありえないわけで、その可能性を考えても仕方ないかと。
#趣味でServer使うのがアレゲなのは同意。
Re: (スコア:0)
例えば、YouTube のようなサービスを作ったとする。入力されたソースは公開フォーマットに合致していればそのまま。合致していないなら再エンコードとかはわりとありそうなセンじゃないかな?
ハイレートで記録して仕掛けを入れた Windows Media でもアップロードすればどっかーんと持っていけるんじゃないかな?
馬鹿に出来なくなった (スコア:0)
ィヘ{:: :::::::|
|ヘ,i: _ __ .::::f}
'、 :l  ̄''\,,. ,,/⌒`::{l
/ f:〉 ーtッ-、〉 /ィtッ‐、/.::|.
/ー|:l `ー‐' / |i''ー‐''´ :l三ニ‐
ィニ三 l ,ィ´ ー、 /三ニ
´??∵/ ∧ ー─'''´ 'ー、__彡'ヘ、_ノ彡三 その動画、ウイルスだよ。知らないのか?..
彡¨? |:;:;゙、 /'ー──‐''´ .:ノ彡;;;;;;;
|:;:;:::;\:::.. `ー─' .:::/ヽ;;;;;;;;;;;
Re: (スコア:0)
> パッチは出たみたいだけど、なにぶん古いOSだし
> 完全には修正できないだろうしね。
何その意味不明な妄想
適当な言いがかりだなー (スコア:0)
パッチは出たみたいだけど、なにぶん古いOSだし
完全には修正できないだろうしね。
何故古いOSだと完全に修正できないんですか?
うちのサイトにも、どうもXPらしきユーザエージェントのアクセスログが残ったりして
かなり迷惑・・・
あなたのサイトを訪問する人が Windows XP を使っていると、なぜ迷惑なんですか?
Re: (スコア:0)
Windowmedia使えないようにすればいいんじゃね?
Silverlightでも入れとけってか。。
Re: (スコア:0)
Silverlightは後ろでDirectShow叩くんじゃないか?知らんけど。
というかSilverlight入れてもWindowMediaは停止しないだろ、コンテンツベンダがSilverlightに変えない限りは。
Re: (スコア:0)
問題が発生するのはWindows XP/Vista/7およびServer 2003/2008。
あんたバカ?
完全に修正できないだのXPのUAが迷惑だの、変な妄想に取り付かれてるようにしか・・・
XPはそろそろ捨てるべきだろうが、あんたは病院行くべきだ。
Re: (スコア:0)
まあまあ。
「XPらしきユーザエージェントのアクセスログが残ったり」するとどう迷惑なのか
元コメにもうすこし詳しくご教示いただかないと。
Re: (スコア:0)
わかりきったことを聞くのは失礼な事だぞ
これ仮にネタじゃないなら本当に病院行くべきだよな
本気のコメントだったら怖すぎるわ
つかネタでもこんな笑えんネタはやめてほしいけど
Re: (スコア:0)
>Windows XP/Vista/7
が
Windows XP/Windows 7に見えてVistaすげー
と一瞬思ってしまった
Re:XPを使うべきでない理由 (スコア:1)
とうとう無意識レベルで無視されるOSに・・・。