CERT曰く、Windows 10でもEMETは無駄ではない 30
ストーリー by headless
緩和 部門より
緩和 部門より
Microsoftは脆弱性緩和ツールEMETをWindows 10で使用する必要はないとし、2018年7月31日のサポート終了を明らかにしているが、Windows 10でもEMETのようなツールが必要だとCERTのWill Dormann氏が反論している(CERT/CC Blogの記事、
The Registerの記事、
Neowinの記事、
BetaNewsの記事)。
Microsoftでは、EMETと同等かそれ以上の機能が多く統合されたWindows 10でEMETを使用する必要はないと主張。EMETの機能が統合されていないWindows 8.1までのOSでは、パフォーマンスや信頼性が低下するとしてWindows 10への移行を推奨している。
しかし、Dormann氏によれば、Windows 10にEMETを組み合わせることで、Windows 10単体と比べて13種類12種類(※)の緩和策が追加されるという。Windows 10のControl Flow GuardはEMETのROP緩和策と同様の保護機能を提供するが、アプリケーション側でCFGを有効にしていなければ利用できない。緩和策の数で比較すれば、Windows 7+EMETもWindows 10を上回る。
そのため、Windows 10でEMETが不要になるというMicrosoftの説明は正しくないとのこと。また、サポートが終了したアプリケーションで未修正脆弱性が発見されるとゼロデイ脆弱性ではなく「forever-day」脆弱性になるとし、こういったアプリケーションを保護するためにもEMETのようなツールが必要だと述べている。
※元記事のWindows 10単体で対応可能な緩和策に「NullPage」が追加されたので訂正
Microsoftでは、EMETと同等かそれ以上の機能が多く統合されたWindows 10でEMETを使用する必要はないと主張。EMETの機能が統合されていないWindows 8.1までのOSでは、パフォーマンスや信頼性が低下するとしてWindows 10への移行を推奨している。
しかし、Dormann氏によれば、Windows 10にEMETを組み合わせることで、Windows 10単体と比べて
そのため、Windows 10でEMETが不要になるというMicrosoftの説明は正しくないとのこと。また、サポートが終了したアプリケーションで未修正脆弱性が発見されるとゼロデイ脆弱性ではなく「forever-day」脆弱性になるとし、こういったアプリケーションを保護するためにもEMETのようなツールが必要だと述べている。
※元記事のWindows 10単体で対応可能な緩和策に「NullPage」が追加されたので訂正
DevExpress (スコア:5, 興味深い)
実は、MSが技術的な問題でEMETのサポートを辞めるのではなく、経済的な問題だったりする。
EMETはDevExpress ver.15.1のランタイムモジュールを利用しているのだけれど、そのサポートが終わるからEMETのサポートも終了するってだけみたいです。無料で配っているものに追加投資してDevExpress ver.16.1とか後続のバージョンベースで再開発するのが、投資に見合わないと判断したようです。
Re:DevExpress (スコア:1)
ソース出せ
Re: (スコア:0)
営利企業の決定なんだから経済的なものに決まってるだろ
Re: (スコア:0)
技術者がいなくなって解散とかあるんだから、経済的なものに決まっちゃいないだろ
Re: (スコア:0, すばらしい洞察)
Re: (スコア:0)
クソリプやめなよ‥
Re: (スコア:0)
#3120467は糞だが#3120574は糞ではない
Re: (スコア:0)
×クソリプ
○俺様が気に食わないリプ
Re: (スコア:0)
技術者がいなくなる理由が事故死の場合は経済的な理由じゃないよね?
あと営利企業の決定が経済的な理由だとは限らない。
社歌を持つ企業があるけど、あれが経済的合理性があるとは思えない。
Re: (スコア:0)
#3120704にもかかるが、技術者が事故死しようがチームごといなくなろうがサポートは不可能ではないよ。
一般的にはコストが高すぎて不可能と同一視されるだけで。
つまり経済的な理由だ。
Re: (スコア:0)
月に行けなかったソ連のN-1ロケットが中止されたのは、ソ連にお金がなかったのではなくコロリョフが死んだからではないだろうか。
ソ連の宇宙予算がいくらあっても、グルシュコが後を継ぐ限りN-1ロケットは継続されなかったと思うよ。
この場合、事故死でなく病死だけど。
Re: (スコア:0)
まあ元コメにとってはポスト・ジョブズの確保もみずほシステムの正常化も
すべては積むべき札束の量で解決できる問題なんでしょう。
なんていうか、そのゴリ押し論法を読んだ人がほほぅと納得すると本気で思ってるんですかねえ…。
引くに引けなくて自分に言い聞かせてるようにしか見えない。
Re: (スコア:0)
たかがEMETやめるのをポスト・ジョブズの確保の問題にすり替えるのこそゴリ押し論法って言うんじゃないかな。
みずほシステムの正常化は札束で解決可能でしょ。
どうしても不可能ってことにしたいならあの手の問題はスタッフの確保より納期の問題とした方が説得力がある。
Re: (スコア:0)
あなたの「普通」の範疇は知りませんけど…、
方針対立からチームごとスピンアウトなんてよくある話ですし
MSに程遠い中小零細ならトラックナンバー1のプロジェクトもありふれてますよ。
先日そんな記事ありましたよね。
# 旗色が悪くなるとバカのフリして無限後退するタイプですか?
Re: (スコア:0)
MSがいまだにサードパーティー製品に依存していたことに驚いた。その末路まで3Dピンボール [srad.jp]と一緒だし
Re: (スコア:0)
むしろ全部自前で賄うほうが大変ではないでしょうか。
ライセンスが合えばOSSを利用するという手もあるかと。
# 最近、実際に使っているかは知りません。
Re: (スコア:0)
重要な製品なら買収(PowerPoint)とか引き抜き(C#)とかライセンス取得(IE,SQL Server)とかして自前にするでしょう
今回はそうではなかったということでは
そうは言っても (スコア:0)
EMETを無効化できるバグとか(関連ストーリーにある通り)たびたび発見されてきたわけだし、サポートが切れてからも使い続けることに意味があるかは疑わしいなあ。
今なおマトリクス表は間違っている (スコア:0)
https://twitter.com/wdormann/status/800698751098781696 [twitter.com]
https://twitter.com/wdormann/status/800710131696668672 [twitter.com]
https://twitter.com/wdormann/status/802125346976006144 [twitter.com]
こんな知識の人に少ないとか言われてもさ
なお正解は秘密 (スコア:0)
人に間違いと言い続けるだけならリスク無しにマウントできてサイコー♪
Re: (スコア:0)
Windows Internalsの著者にも同じこと言えよ
https://twitter.com/aionescu/status/802002626615255040 [twitter.com]
サポート切れたアプリケーションをアンインストールさせればいいんじゃね (スコア:0)
なんで他人が作ったソフトまでMSが面倒見るのが当然という論調なのか
原因も対策も周知されているわけだし、Windowsができた昔と違って署名キーを作る必要があるわけだし、
メンテ中ステータスが無効になったらアンインストール推奨する機構を持つ方がよほどいいだろ。
そんなことよりアップデートしろ (スコア:0)
そもそもOSレベルのセキュリティは
脆弱性のあるアプリケーションを実行してもシステム全体を乗っ取られないようにするだけで、
脆弱性のあるアプリケーション自体がが重要な情報を持っているとかの場合は、全く意味がない。
Re: (スコア:0)
よしそれではアプリケーション1つごとにコンテナを用意しよう
# Azureの規模をどのくらいにしようか
Re: (スコア:0)
はい
https://blogs.windows.com/msedgedev/2016/09/27/application-guard-micro... [windows.com]
価値があることはMS自信が認めている (スコア:0)
毎月のセキュリティアップデートの情報をみれば、IEのあたりとかで「この脆弱性はEMETで防げる」みたいなことが書いてあるよね。
Re: (スコア:0)
前任者のIEはEMETに頼らざるを得ない反逆的ブラウザでしたが云々
Re: (スコア:0)
実際、この前Googleが公表していたゼロデイ攻撃の脆弱性でも、EdgeとWin10のChromeなら脆弱性が緩和されそうだという話が出てたし。セキュリティの向上自体は事実なんじゃね?