Windows Vista/7のサイドバーとガジェットに脆弱性、8では廃止? 62
ストーリー by hylom
そういえばそんなものもあったなあ 部門より
そういえばそんなものもあったなあ 部門より
あるAnonymous Coward 曰く、
Windows Vista/7のサイドバーとガジェットに「安全でないガジェットを実行したときにWindowsサイドバーによって任意のコードが実行される」という脆弱性が発見された(Microsoftのセキュリティアドバイザリ)。Microsoftは対策としてサイドバー機能を無効化するFixIt(対策ツール)を提供している。
同機能はWindows 8のリリースプレビュー版には搭載されていたが、ComputerWorldによると、最終的なバージョンでは廃止される可能性があるという。
安全でないexeを実行したときWindowsによって任意のコードが実行される脆弱性 (スコア:3, すばらしい洞察)
> 「安全でないガジェットを実行したときにWindowsサイドバーによって任意のコードが実行される」という脆弱性が発見された
何これ本気で言ってるの?
どう考えてもガジェットを完全廃止するための口実にすぎないな。
Re:安全でないexeを実行したときWindowsによって任意のコードが実行される脆弱性 (スコア:1)
さらには、通常のWin32アプリ実行環境も廃止したいんじゃないでしょうか。
同じ「脆弱性」を抱えてるのだから、という論法で。
ガジェット○部 (スコア:0)
・攻撃者がガジェットの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性がある
・管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性がある
ガジェット廃止によるMetroアプリへの誘導に見えるけど、Metroアプリはガジェットより安全なのでしょうか。
Re:ガジェット○部 (スコア:1)
・サンドボックス内で動く事を強制される
・基盤であるUACを無効にするとMetroアプリは動かない
・砂場からはみ出るアプリはWindows Storeの審査を通らない
・Windows Storeからしかインストールできない
Re: (スコア:0)
はい。
Re: (スコア:0)
そもそもサイドバーガジェットはHTML+CSS+JavaScriptなんで、こいつが任意のコードを実行可能というのがよく分からない。
エンジンはIEと共通じゃないのかな?
まあ、ガジェット配布公式ページもずいぶん前に終わってたし、実質既に切り捨てられたも同然でしたが。
Re:安全でないexeを実行したときWindowsによって任意のコードが実行される脆弱性 (スコア:2)
> こいつが任意のコードを実行可能というのがよく分からない。
> エンジンはIEと共通じゃないのかな?
ActiveXオブジェクトが利用できて、そいつのサンドボックス内への囲い込みが完全にはできてなかったと解釈すると理解できますね。
Re: (スコア:0)
いまだにJavaからexe叩ける糞仕様が残ってますしね・・・まあJava側が悪いといったらそれまでだが
Re: (スコア:0)
エンジンはIEと共通だけど、サイドバー固有のAPIがあって、そこからシステム情報にアクセスしたりできる。
アプリケーションランチャーガジェットがあるところからも分かるように、任意のファイルを開くことも可能。
Re: (スコア:0)
ガジェット、便利だったのにな。
ちなみにLinuxデスクトップでもscreenletを使用中。
Metroアプリをガジェットの代わりにデスクトップ上に
張れるようにしてくれたら良かったのに…そしたら共存
共栄できたかもしれないのに…
↑いや、まだ失敗したわけじゃねえし(笑)。
Re: (スコア:0)
いいなぁそれ。
win8はそういうの目指して欲しかった。
↑いや、まだ失敗したわけじ(ry
# フルスクリーンというのが嫌
なんで対策が無効化オンリーなんだよ (スコア:2, 興味深い)
「重いのでsidebar消しました」とか7で切り捨てたときもふざけんなと思ったけど
今、現在進行形で使ってるユーザーのことをなんだと思ってるんだ?
WP7といい、あっさり切り捨てすぎるので「MSの新テクノロジー」にはとてものっかれん。
Re: (スコア:0)
WindowsのガジェットはActiveXが使えるJavascriptとHTMLやCSS等をzipで固めてデプロイしてIEのコンポーネントを利用してデスクトップに表示できるようにしただけのアプリ実行環境であって新テクノロジーでもなんでもありません。
Re: (スコア:0)
まぁまぁ、sidebar好きの嘆きということで一つ。
Re: (スコア:0)
元投稿も「」で囲っていることから多分わかってるんじゃないかな。
サイドバーって起動するだけでメモリを1GB、さらにガジェット一つ当たり100MBぐらい当たり前に消費していたので、そんなもの無くなって当たり前の気がする。
代用に見た目よくあるサイドバーガジェットと同じ単体アクセサリソフト、8つぐらい作って使っているけど全部足してもメモリ20MB使わないぞ。
WHSも5年でおしまいですしね (スコア:0)
WindowsRTも5年でおしまいなのかもしれません。
そして、RTのサポート切れが来たら、セキュアブートは真価を示し
せっかくのハードウェアに、稼働させる方法が無くなるわけで、RT搭載製品は
パソコンではなく、期限付きの特殊端末だと思わなければならないようです。
もっと将来性を感じる機器に投資し、買い支えるほうがイイと思いますが
むしろ、その何かを買い支えさせず滅ぼすために
Microsoftがいろんなものを発表しているようにも思えます。
たとえば、Windowsにガジェット機能がなければ
MacのDashboard用として開発にとりくんだ開発者もいたかもしれません。
そういった人材流出を防ぎ、話題性が無くなったら、廃止する。
そのすべてが、シェア低下が続くWindowsを生きながらえるための策なのかもしれません。
Re: (スコア:0)
もっと将来性を感じる機器
例えばどんな。
で、ちなみにそれってOS載せ替えできるの?5年以上つかえるの?
なるほど、それは確かに買いだな。
Re: (スコア:0)
そもそも使ってませんね
俺の場合一画面の左半分がメッセかツイッター右半分がブラウザで
一画面がゲームかビデオのフルスクリーンで
デュアルディスプレイでほぼデスクトップ見えない状態で間に合ってるし
ビデオとゲームやってない状態だとWin7のランダム壁紙できれいな絵とかムラムラな絵がローテーションしてるだけで
時計やらCPU・RAM情報とかはタスクトレイで足せるから
「全部俺の場合」だとサイドバーとガジェットは使ってないね
#というかVistaの時代サイドバー使ったらパソコン重そうになってる錯覚でWin7で使いたくない
Re: (スコア:0)
浅すぎる
WP7端末は今が買い時なのに
盲目的に新しいバージョンの方がいいという馬鹿なのか
よくわかっていないけど取りあえず文句言いたいだけなのか
Re: (スコア:0)
コンシューマはアリモノが格安で使えればそれでいいのかもしれんが。
今まで作ってた開発手法やら作りかけてたframeworkやら全部放り投げて
「これからはMetroアプリですよMetroアプリ!!」
「そういえばWindowsPhone(笑)とかありましたね」
とか公式イベント(Developers Day)で言われたらぶち切れたくもなるわ。
そりゃメインはWindows8のイベントなのはわかってるが
仮にも現行のWP7をあそこまで貶める必要有ったのかよ。
MS系は先行しても良いこと何もないことがハッキリわかったので、
iOSとかAndroと市場で数字が並ぶまで完全放置することに決めた。
Re: (スコア:0)
>今まで作ってた開発手法やら作りかけてたframeworkやら全部放り投げて
あれれ、何も知らずに批判してる口ですか(笑)
VistaあたりからWindows関連の開発を手がけた人ならXP、Vista、7、8デスクトップ、8メトロ、WP7.x、WP8
どれを開発するのもすんなり入っていけますよ
Re: (スコア:0)
VSだからツールの使い方は一緒!ってのは当たり前の話。
WP7で今まで作った資産を全部捨てて作り直せってのがやばいのよ。
先行して頑張ろうとしてた所ほどババを引いた状態。
WP7からWP8への移植方法
1.VSでプロジェクトを読み込みます
2.エラーが山ほど出ます
3.エラーを全部潰します
コレで移植できます! とか大まじめに力説されたからね。
Re: (スコア:0)
恥ずかしい奴だな
VSだからってそんな浅いレベルの共通資産じゃねーよ
何も知らずに想像で語ればボロが出るわな
Re: (スコア:0)
>Vistaあたりから
って書かれているのに何でVSの事だと思ったんだろう・・・
新しい概念を生み出すたびに、脆弱性も生み出している (スコア:1)
仕方ないけどさ…。
ActiveXが危ないって言われて廃れつつあると思ったら、
今度はSilverlightに.NETがくっ付いて、Silverlightまでもが
脆弱性の対象となりつつあるような気がします。
Re: (スコア:0)
IE4からあったActive Desktopの焼き直しで新しくも何ともないよ。
これは当然 (スコア:1)
ウィンドウズ8(windows8)メトロのココがすごい!
メトロは単なるアイコンではない! | ウィンドウズ8 最新情報WEB
http://xn--8-geuib4hwd7n.net/archives/1036 [xn--8-geuib4hwd7n.net]
Re:これは当然 (スコア:2)
DOS⇒WIn9x系⇒WInNT系の慎重な流れからすると、Metro UIにエミュレーション機能を載せて欲しいくらいだけどね。セキュリティ上、止めた方が好ましいだろうけど。
以前のMicrosoft製品が安心できたのは、互換性を長く維持していたことだと思うんですが、最近はあっさり切り捨てるなあ。
Re: (スコア:0)
Metro UIと機能が重複しているのだから、1つでいいでしょ。
Win8からガジェットが無くなるのは、100歩ゆずってその道理で良いとしても、今回の対応はWindows 7とVistaに対してガジェット削除だからメトロは関係ないでしょう。
Re: (スコア:0)
簡単に対処できるならしているでしょう
それが困難だから全停止なんでしょう
これからはMetroの時代ですさあアプリ書け (スコア:0)
Win32を本気で滅ぼしたかったらまずたった2バージョンくらいで飽きて放り出すのをやめろよ。
Re: (スコア:0)
Appleは1バージョンで飽きる
Re:これからはMetroの時代ですさあアプリ書け (スコア:1)
Re: (スコア:0)
約1年前にガジェットの公式配布サイト終了してたから何をいまさらって感じだけど、特に大騒ぎにならんかったからその程度のユーザしかいかなかったってことなんでしょう。
こんな企業だからMetroもすぐ終了するかもね(゚∀゚)
Re:これからはMetroの時代ですさあアプリ書け (スコア:2)
スマホやタブレットではMetroを続ける(というか、これしか売りがない)しかないから、それらの開発環境という意味では続けざるを得ないでしょ。
x86版のタブレットを諦めたら、ARMのエミュレータだけになるかもしれないけど。
Re: (スコア:0)
Win32最強伝説
Re: (スコア:0)
> Win32を本気で滅ぼしたかったら
こういう言説をちらほら見かけるようになったのと、
世の中の微妙な流れで最近不安気味なんだけど、
本当のところMicrosoftはどう考えてるのかねー。
Metroに限った話ではないけど、ネイティブの
実効形式の行く末が気になる。
知財を含んだコードを出してるところはバイトコード
じゃ出し辛いと思うんだよな。みなさん、どうする
つもりなんでしょ?
いきなり「クラウド+Metroでやってください」とか
言い出したらおじさん暴れちゃうぞ!
…というか会社単位で暴れだしそうなところもある(笑)。
Re: (スコア:0)
Re: (スコア:0)
そりゃWin32を滅ぼしたがってるのは他でもないMicrosoftだよ。
WinRTはキモいWin32 APIを捨てて現代風に作り直し、MSの標準UIテクノロジであるXAMLサポートも付け加えたもの。
いつまでもWin32 APIやWindowsフォーム、あとは…WebFormsとかもか、そこら辺のレガシーなテクノロジのお守りなんてしたくないだろうさ。
> Metroに限った話ではないけど、ネイティブの実効形式の行く末が気になる。
MS的には、ネイティブにしたかったら今後はC++/CXとWinRTを使え、ってことだろう。
C++ AMPなんてのも用意してるし、別にネイティブを軽視しているわけではないよ。
Re: (スコア:0)
ネイティブじゃなきゃ困る理由は、
1)性能
2)逆コンパイル困難
があると思うのですよ。
今後「逆コンパイル困難」の方もぜひ維持していただきたい。
その場合は「1バイナリで多プラットホーム」に対応しろとか
贅沢は言いません。
ほんと頼むよ、マイクロソフト!
Re: (スコア:0)
難読化できるんじゃなかったっけ
Re: (スコア:0)
『脆弱性のあるガジェットをユーザーにインストールさせ、有効にさせることが攻撃者にとっての必要条件となります。』
と書いてあるのは、攻撃者が作ったガジェットをインストールさせるという意味ではなくて、
マヌケな作者が作ったガジェットをインストールさせておけば、別の人が攻撃可能という意味なのかな?
Re:既に利用中のガジェットを使い続けるだけでも危険なのか? (スコア:2)
そうだよ。その少し上に書いてある。
Re: (スコア:0)
普及してる分クレーマーも多いのでしょう
Re: (スコア:0)
俺もMSの最初のガジェットだけでも便利で使ってるけどそれも駄目なのか気になる。
Re: (スコア:0)
君が救いようがない
Re: (スコア:0)
いっそOSから自分で実装しないと何もできない時代に逆戻りすればいいんじゃないかな。君だけが。
Re: (スコア:0)
そんな時代があったなら俺も連れてって欲しい。
IBM700/7000シリーズや1400シリーズでさえFMSというFORTRANを動かすためOSがあったというのに。
Re: (スコア:0)
_, ._
( ・ω・) ・・・
○={=}〇,
|:::::::::\, ', ´
、、、、し 、、、(((.@)##################
Re: (スコア:0)
コメント部に突っ込むのもナンですが、
脆弱性は隠蔽しても消失しませんよ? 見た目見えなくなるだけで、安心している間に知っている人間がどぉんどん悪用します。
#個人的には、いくらユーザー数が少ないとはいえ現存する機能を吹っ飛ばすことにしたってことは、多分設計のかなり深い所に致命的な設計ミスがあったんだろうなと思います。
#それが何なのかは想像できませんが。
##自分の用途が、概ねミク時計とブログ妖精ココロと藍澤光と雲野コアをデスクトップ上に常駐させるだけになっているのでAC