パスワードを忘れた? アカウント作成
11712347 story
バグ

Microsoft、18年にわたってWindowsに存在した脆弱性を修正 50

ストーリー by headless
長寿 部門より
18年にわたってWindowsに存在していた脆弱性 CVE-2014-6332 (MS14-064) が、11月の定例更新で修正された( Security Intelligenceの記事TrendLabs Security Intelligence Blogの記事BBC Newsの記事ITmediaニュースの記事)。

この脆弱性はOleAut32ライブラリのバグが原因で、配列のサイズ変更が適切に処理されないためにリモートからコードが実行される可能性がある。バグ自体は少なくとも19年前から存在していたが、18年前にInternet Explorer 3.0がリリースされたことで、VBScriptの「ReDim Preserve」ステートメントを使用して悪用が可能になったという。IE11の拡張保護モードや、EMETやDEPといった保護機能も迂回できるということで、すでに実証コードも公開されているそうだ。MicrosoftではサポートされているすべてのWindowsについて深刻度が「緊急」と評価している。脆弱性はIBM X-Force Researchによって5月に発見されたが、Microsoftによる修正が完了するまで公表されなかったとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2014年11月15日 13時57分 (#2711634) 日記

    割とマヌケなバグだけど、面倒だからイイカゲンに作ってしまいそうではある。

    • by Anonymous Coward

      割とマヌケなバグだけど、面倒だからイイカゲンに作ってしまいそうではある。

      その程度のプログラマしかいなかったってことですよね。

      • by Anonymous Coward

        それは短絡的すぎる・・・。

      • by Anonymous Coward

        「しか」とか言っちゃう論理化が苦手なあんたみたいな人がバグを作る。

  • 根幹にかかわってて、一見普通だと動作的な確認でもレビューとかでも取り除きにくいんだろうな...

    # 単純に見付けにくいっていうだけかもしんないけど(そしてそういうのはすごい残ったりする)

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      19年前に仕込まれたバグの修正とか全く想像でない…

      • by Anonymous Coward

        ニュースになったり公表されないだけで、十年以上前あるソフトのバグ修正とか結構ありますよ。
        重要であるプログラムであれば、変更のリスクを避けるために丸ごとソースを移植したりバイナリを流用されてますので。
        ただ、そういったソフトの修正はソースの変更よりも、当時の開発環境を再現するのが大変だったりします。
        まぁ、今回の件はマイクロソフトですから、開発環境自体は新しくなっていそうですが。

        #私が今修正してるソースは12年前だった。

        • by Anonymous Coward on 2014年11月15日 14時04分 (#2711637)

          > ニュースになったり公表されないだけで、十年以上前あるソフトのバグ修正とか結構ありますよ。

          なんでバグが発生したのか調べろ!
          って、部長がいうので、10年前の資料とか調べたら
          10数年前に部長が新入社員だったころにコーディングした部分だった。
          なんて話あります。

          親コメント
          • by Anonymous Coward on 2014年11月15日 14時36分 (#2711646)

            部長昇進早いですね…

            親コメント
            • by Anonymous Coward

              10数年前のIT企業なら10年も勤めていたら部長にも取締役にもなれると思うよ。
              当時20人くらい今200人くらいみたいな会社ね。

              • by Anonymous Coward
                そういや10年前の同期はみんな開発部長になったな。
            • by Anonymous Coward

              新入社員の十数年後なら40間近ですし、言うほどでもないかと。
              # 創作くさいって言いたいのか知らんけど。

            • by Anonymous Coward

              知ってるIT企業では、中途採用だけど、入社2年目くらいの若い社員が社長になってましたよ。
              親会社が問題を起こしてキャッシュが必要となり、その会社を清算して現金化しようと計画。
              親会社と抵抗する社長とで、ドロドロでギリギリな争いをやった結果、親会社が社長を追い出して、言いなりの社長として任命。

              なかなかエキセントリックな会社です。
              結構有名。

          • by Anonymous Coward

            こういう時みんなどうしてるの?
            ちゃんと仕返ししてる?
            オレはするけどな。
            おかげでオレが昇格した。

            • by Anonymous Coward

              両津のバカはどこだ!

            • by Anonymous Coward

              バグを利用して昇格したって?

              • by Anonymous Coward

                バグをついて権限昇格だな

            • by Anonymous Coward

              調べろって言われて調べることに、「仕返し」が発生する余地があるんですか?

          • by Anonymous Coward

            担当者はとうに退社した女の子で…という昔話になったことも

            • by Anonymous Coward

              > 担当者はとうに退社した女の子で…という昔話になったことも

              そんなのは日常茶飯事ですよ。

              忙しいからて他部署やら他の会社やら派遣PGを雇ってプロジェクトを終えたあと解散したら、
              ほとんど開発者はいないってこともある。

      • by Anonymous Coward

        SSL3.0のバグは18年隠されていましたわけですけど、POODLEによって死亡ですよね。
        オプソは棄てるで解決できるので楽ですね。

  • by Anonymous Coward on 2014年11月15日 13時08分 (#2711621)

    知っていたのだろうか?

  • by Anonymous Coward on 2014年11月15日 13時59分 (#2711635)

    > バグ自体は少なくとも19年前から存在していたが、
    > 18年前にInternet Explorer 3.0がリリースされたことで、
    > VBScriptの「ReDim Preserve」ステートメントを使用して悪用が可能になったという。

    空間を読むと

    バグ自体は存在していたが悪用はできなかった。
    IE3.0がリリースされたことで悪用できるようになった。

    ということですか?

  • by Anonymous Coward on 2014年11月15日 18時02分 (#2711709)

    言ったから直したんだろw

  • by Anonymous Coward on 2014年11月15日 19時37分 (#2711738)

    サポート終了後に何年も放置してたバグを発表するビジネススタイルですか
    # それでもわたしはXPを使い続けるよ!

    • by baldmage (45440) on 2014年11月15日 21時15分 (#2711759) 日記

      >サポート終了後に何年も放置してたバグを発表するビジネススタイルですか

      そーゆーの前からやってますよ

      Windows の全バージョンに危険な脆弱性が見つかる [srad.jp]

      Windows 2000 や XP SP2 でもこの脆弱性の影響を受けるが、修正される見通しは無いとのこと

      親コメント
    • by Anonymous Coward

      「Vista以降はXPまでとまったく別物と言っていい」
      18年前のバグがまだありました、てへ

    • by Anonymous Coward

      見つけたのはIBMだから、IBMもグルだな!

  • by Anonymous Coward on 2014年11月16日 17時17分 (#2711973)

    VBScriptはそれ自体は便利だが、学ぶ価値がなさすぎる。
    そろそろOS Xのようにpythonとかを乗っけたらいいのにさ。
    ついでにVBAも全面廃止しよう。
    「買いたい人は有料で追加でどうぞ。」としてPythonで入れ替えればいい。
    日本はRuby押しだけど、ソフト育ってない。

    • by nekopon (1483) on 2014年11月17日 9時47分 (#2712188) 日記
      BASICのないMicrosofなんて
      親コメント
    • by headless (41064) on 2014年11月19日 3時00分 (#2713479)
      IE10まではActivePerlやActivePythonをインストールすればPerlScriptやPythonScriptが動作していましたが、IE11ではドキュメントモードを10以下に変更しなければ動作しなくなりました。VBSもデフォルトでは動作せず、JavaScriptのみ動作するようになっています。
      親コメント
    • by Anonymous Coward

      もうPowerShellがあるからVBScriptを使う必要はない。VistaでもWindows Updateが掛かっていればインストール済み。

      付属環境は無いが、Excel等の無人処理だけならPowerShellや他の言語でもできる。

    • by Anonymous Coward

      そうですねー

    • by Anonymous Coward

      rubyのwinodws冷遇っぷりを知ってうえでそれですか?
      windowsではすんなりインストールできないgemもいくつかあるんですが…
      nokogiriとか
      まあ、開発者自ら使うならインストールが手間でも問題ないんですが何も知らないユーザーにそれをやらせろと?

    • by Anonymous Coward

      そうそう、pythonとか、perlとか。

  • by Anonymous Coward on 2014年11月20日 23時39分 (#2714905)

    それで、メモ帳の保存すると改行が入る問題はいつになったら直すんだよ。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...