パスワードを忘れた? アカウント作成
13196677 story
セキュリティ

IPAの「安全なウェブサイト運営入門」に脆弱性 23

ストーリー by hylom
安全じゃなかった 部門より

IPAが2008年に公開したセキュリティ学習のためのソフトウェア「安全なウェブサイト運営入門」に脆弱性が発見された(IPAの発表JVN#11448789)。

安全なウェブサイト運営入門は、アドベンチャーゲームのようなロールプレイング形式でセキュリティ事件を体験的に学習できるというソフトウェアで、Windowsで動作する。開発は日立インターメディックス。

今回発見された脆弱性は、細工されたセーブデータを読み込むことで任意のコマンドを実行される可能性があるというもの。すでにサポートは終了しているためIPAからの対策は提供されず、使用を停止するという対処が提示されている。

IPAの学習ツールにおいては、先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2017年03月17日 14時44分 (#3178231)
    このソフトを実行することで
    身をもってセキュリティが学べるのだから
    たいしたものじゃないですか。
    • by Anonymous Coward

      岡ちゃんも反面教師だったよね!

  • by Anonymous Coward on 2017年03月17日 14時33分 (#3178223)

    中、上級編ならこんなことはないはず。

    > 先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた。
     
    IPAの入門・体験系は気をつけろと。

    • by Anonymous Coward

      細工されたセーブデータ読んじゃう時点でなぁ・・・

      「不正なプログラム.doc               .exe」 を実行しちゃうのと同じようなレベルの話でしかないと思う。

      # ソフトの脆弱性というよりはヒューマンエラーの類じゃね?

      • by Anonymous Coward

        実行可能を想定したデータじゃないんだからソフトの脆弱性だろ
        .txtファイルをwebブラウザで開いたらjavascriptとして実行されたらバグだろ

        • by Anonymous Coward

          ユースケースとして、教育用のスタンドアロンゲームのセーブデータを怪しげな場所から入手してきてロードするってのがまずわからん。
          巷に普及してる通常のゲームならともかく、こんな教育用のでセーブデータ使ってステータス値とか何かそういうのを改ざんするような遊び方する奴は流石に居ないだろう。

          このゲームやってる奴をわざわざ調べ上げてメールで添付すればできるかもしれないけど、それで信じ込ませられるぐらいなら普通に「改造ツール」とでも何とでも言って.exeを配布したほうがいいんじゃね?

          実際に使われるケースが想定されない(あるいはその使われ

      • by Anonymous Coward

        セーブデータから読み込んで、コマンド実行だから

        メールの添付ファイルに、このソフトのセーブデータがあった場合は、開かないこと
        ってことかと。

        exeのような実行ファイルではないので、ウイルス対策ソフトで見逃すことがあった場合・・このソフトを使ってる人が多かったら問題になったかもね。

      • by Anonymous Coward

        前から思ってたけど
        エクスプローラーにコマンドプロンプト埋め込んで
        開いてるフォルダ内で操作できるようにすれば便利なのに
        Win10ならUbuntuのコマンドが使えるけど
        DOSのコマンドでも結構便利だよ
        正規表現覚えればフォルダ内に何百ファイルが有っても困らないし
        ワードのフルパスを全部打つの面倒だから
        ワードの置いてあるフォルダにword.bat置いとけば問題ないし安全
        添付ファイルのテンポラリフォルダにexel.batも置いとけば完璧
        コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…

        • by Anonymous Coward on 2017年03月17日 21時11分 (#3178459)

          エクスプローラで、
          SHIFT+右クリック → コマンドウィンドウをここで開く
          があるから十分でしょ

          親コメント
        • by Anonymous Coward

          >コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
          type コマンド?

          • by Anonymous Coward
            何の冗談ですか 笑
          • by Anonymous Coward

            私もそう思った。

            「なんの冗談?」とか回答してるってことはWordやExcelのテキストだけ出力したいってことなのかもね。
            全く読み取れないけど。

            # Program Filesにアクセス権見なかったことにして勝手にファイル作って「問題ないし安全」とか書いてる時点であれだよね。
            # PATH環境変数をまず覚えろと言いたい。

        • by Anonymous Coward

          start winword でいいだろ

        • by Anonymous Coward

          なんかよく分からないけど開いてるフォルダのアドレスバーからword.batを打つんじゃダメですかね。

  • by Anonymous Coward on 2017年03月17日 14時36分 (#3178226)

    安全なウェブサイト運営にはサポート期間内のソフトウェアを利用しましょう
    って事がコンテンツ内で盛り込まれていないのでしょうか

    # 部門名 > サポート切れなら安全じゃなくても文句受付けへんよ

    • Re:サポート切れ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2017年03月17日 18時30分 (#3178366)

      いやいやいやいやいや、それ以前に9年前のセキュリティ教材を現在も使ってる人が居るとしたら、もう本当に手遅れの状況なんで、即座に退場してもらった方が良いような。

      サポートとか以前に、9年前のソフトウェアの脆弱性を探してた奴もすごいな。
      9年間探し続けたのでなければ、目的はなんだったんだろう。金かな。

      親コメント
  • by Anonymous Coward on 2017年03月17日 14時51分 (#3178235)

    部門名変更希望W ↑

    • by Anonymous Coward

      なあに、最も重要な点「大事な情報はウェブ上には置かない」という対策は成功しているじゃないかハハハ

  • by Anonymous Coward on 2017年03月17日 18時22分 (#3178362)

    そもそもセーブデータをやり取りするようなソフトなの?
    交換前提のソフトなら確かに不安だけども、ローカルのセーブデータを騙して交換させるっていう条件が必要なら、それ以前に実行ファイルを交換させるのと、難易度がさほど変わらないと思うんだけれども。

    コンフィグやレジストリを言ったとおりに書き換えさせる事が可能ってシナリオなら、かなりのシステムがまずい状況に陥ると思う。

    • セーブデータ単体なら怪しいけど、プログラムとセットだったら?
      組織内でセーブデータ付きで配布して「これ研修ね。やっといて」というのは考えられなくもない?
      …あ、それが通用するなら直接悪質なプログラムを配布したほうが早いか。

      親コメント
    • by Anonymous Coward

      これで深刻度が重要 [ipa.go.jp]って、CVSSの評価がおかしくないですかね?
      v2での攻撃元区分(AV)がネットワークなのも謎。

    • by Anonymous Coward

      「納税額MAXの確定申告用データ」だと? ガクガク…
      # 誰も言ってない

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...