IPAの「安全なウェブサイト運営入門」に脆弱性 23
ストーリー by hylom
安全じゃなかった 部門より
安全じゃなかった 部門より
IPAが2008年に公開したセキュリティ学習のためのソフトウェア「安全なウェブサイト運営入門」に脆弱性が発見された(IPAの発表、JVN#11448789)。
安全なウェブサイト運営入門は、アドベンチャーゲームのようなロールプレイング形式でセキュリティ事件を体験的に学習できるというソフトウェアで、Windowsで動作する。開発は日立インターメディックス。
今回発見された脆弱性は、細工されたセーブデータを読み込むことで任意のコマンドを実行される可能性があるというもの。すでにサポートは終了しているためIPAからの対策は提供されず、使用を停止するという対処が提示されている。
IPAの学習ツールにおいては、先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた。
反面教師 (スコア:2)
身をもってセキュリティが学べるのだから
たいしたものじゃないですか。
Re: (スコア:0)
岡ちゃんも反面教師だったよね!
にゅ、入門編だから(震え声 (スコア:0)
中、上級編ならこんなことはないはず。
> 先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた。
IPAの入門・体験系は気をつけろと。
Re: (スコア:0)
細工されたセーブデータ読んじゃう時点でなぁ・・・
「不正なプログラム.doc .exe」 を実行しちゃうのと同じようなレベルの話でしかないと思う。
# ソフトの脆弱性というよりはヒューマンエラーの類じゃね?
Re: (スコア:0)
実行可能を想定したデータじゃないんだからソフトの脆弱性だろ
.txtファイルをwebブラウザで開いたらjavascriptとして実行されたらバグだろ
Re: (スコア:0)
ユースケースとして、教育用のスタンドアロンゲームのセーブデータを怪しげな場所から入手してきてロードするってのがまずわからん。
巷に普及してる通常のゲームならともかく、こんな教育用のでセーブデータ使ってステータス値とか何かそういうのを改ざんするような遊び方する奴は流石に居ないだろう。
このゲームやってる奴をわざわざ調べ上げてメールで添付すればできるかもしれないけど、それで信じ込ませられるぐらいなら普通に「改造ツール」とでも何とでも言って.exeを配布したほうがいいんじゃね?
実際に使われるケースが想定されない(あるいはその使われ
Re: (スコア:0)
セーブデータから読み込んで、コマンド実行だから
メールの添付ファイルに、このソフトのセーブデータがあった場合は、開かないこと
ってことかと。
exeのような実行ファイルではないので、ウイルス対策ソフトで見逃すことがあった場合・・このソフトを使ってる人が多かったら問題になったかもね。
Re: (スコア:0)
前から思ってたけど
エクスプローラーにコマンドプロンプト埋め込んで
開いてるフォルダ内で操作できるようにすれば便利なのに
Win10ならUbuntuのコマンドが使えるけど
DOSのコマンドでも結構便利だよ
正規表現覚えればフォルダ内に何百ファイルが有っても困らないし
ワードのフルパスを全部打つの面倒だから
ワードの置いてあるフォルダにword.bat置いとけば問題ないし安全
添付ファイルのテンポラリフォルダにexel.batも置いとけば完璧
コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
Re:にゅ、入門編だから(震え声 (スコア:1)
エクスプローラで、
SHIFT+右クリック → コマンドウィンドウをここで開く
があるから十分でしょ
Re:にゅ、入門編だから(震え声 (スコア:1)
Explorerのファイルメニューのコマンドプロンプトで開くも便利よ(管理者/Powershellも選べるし)。
Re: (スコア:0)
>コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
type コマンド?
Re: (スコア:0)
Re: (スコア:0)
私もそう思った。
「なんの冗談?」とか回答してるってことはWordやExcelのテキストだけ出力したいってことなのかもね。
全く読み取れないけど。
# Program Filesにアクセス権見なかったことにして勝手にファイル作って「問題ないし安全」とか書いてる時点であれだよね。
# PATH環境変数をまず覚えろと言いたい。
Re: (スコア:0)
start winword でいいだろ
Re: (スコア:0)
なんかよく分からないけど開いてるフォルダのアドレスバーからword.batを打つんじゃダメですかね。
サポート切れ (スコア:0)
安全なウェブサイト運営にはサポート期間内のソフトウェアを利用しましょう
って事がコンテンツ内で盛り込まれていないのでしょうか
# 部門名 > サポート切れなら安全じゃなくても文句受付けへんよ
Re:サポート切れ (スコア:2, すばらしい洞察)
いやいやいやいやいや、それ以前に9年前のセキュリティ教材を現在も使ってる人が居るとしたら、もう本当に手遅れの状況なんで、即座に退場してもらった方が良いような。
サポートとか以前に、9年前のソフトウェアの脆弱性を探してた奴もすごいな。
9年間探し続けたのでなければ、目的はなんだったんだろう。金かな。
ウェ、WEBじゃないし、アプリやし(震え声) (スコア:0)
部門名変更希望W ↑
Re: (スコア:0)
なあに、最も重要な点「大事な情報はウェブ上には置かない」という対策は成功しているじゃないかハハハ
レベルMAXゴールドMAXのセーブデータ送ります。 (スコア:0)
そもそもセーブデータをやり取りするようなソフトなの?
交換前提のソフトなら確かに不安だけども、ローカルのセーブデータを騙して交換させるっていう条件が必要なら、それ以前に実行ファイルを交換させるのと、難易度がさほど変わらないと思うんだけれども。
コンフィグやレジストリを言ったとおりに書き換えさせる事が可能ってシナリオなら、かなりのシステムがまずい状況に陥ると思う。
Re:レベルMAXゴールドMAXのセーブデータ送ります。 (スコア:1)
セーブデータ単体なら怪しいけど、プログラムとセットだったら?
組織内でセーブデータ付きで配布して「これ研修ね。やっといて」というのは考えられなくもない?
…あ、それが通用するなら直接悪質なプログラムを配布したほうが早いか。
Re: (スコア:0)
これで深刻度が重要 [ipa.go.jp]って、CVSSの評価がおかしくないですかね?
v2での攻撃元区分(AV)がネットワークなのも謎。
Re: (スコア:0)
「納税額MAXの確定申告用データ」だと? ガクガク…
# 誰も言ってない