MicrosoftのJETデータベースエンジンにゼロデイ脆弱性 41
ストーリー by headless
期限 部門より
期限 部門より
MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事、
アドバイザリー、
Softpediaの記事、
The Registerの記事)。
この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。
ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。
この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。
ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。
んーとつまり? (スコア:0)
Office系のファイルにデータリンクされてるとアウトってこととかな
開かせやすさでいうとWordに
差し込み印刷系とかExcel貼り付けとかですかね
つまりメール添付のOfficeファイルに気を付けろってこと?
ならいつも通り
開く奴は気にせず開くし
阿呆な奴は社外秘ファイルをオンライン検閲に投げるし
平常運転でいいんじゃないかな
境界外書き込みの脆弱性だと
Windows 10ならExploit Protectionで
防げそうな気もするけどだめなんすかね
# Windows Defenderのエンジン自体も噛んでたら笑えんが
Re: (スコア:0)
JETエンジンは他の製品の内部で使われたりするので(インストーラとか)、そっち方面でなにかある可能性はあるかも。
具体的には思いつきませんが。
Re:んーとつまり? (スコア:1)
そうですね。影響が大きいので、じぇじぇじぇっと驚きました。
Re: (スコア:0)
つhttps://blog.trendmicro.co.jp/archives/19506
脆弱性をわざわざ公開するやり方って (スコア:0)
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
・製品の欠陥を公表して、利用者に注意を呼びかけ、製造者には修理を迫る。
と考えれば、公益告知かと。それに大企業ってのは不都合や悪事を隠すってイメージがあるから、しょうがないかと(笑)
ただ、上記はあくまで一般的な製品にあてはまって、ソフトウェア製品になると攻撃者という存在があるのでややこしい。
一般的な製品は公表の利益があるが、ソフトウェア製品の場合は公表には不利益がある。すなわち攻撃者を有利にする。
基本的に脆弱性情報の公開は攻撃者を利し利用者の害になる。かと言って非公開をとすれば、セキュア・プログラミングが普及しないため、攻撃者有利な環境がはびこる。一般製品を例にすれば、設計ミス(製品事故)を非公開とすれば、安全な製品設計につながらない。製品事故を告発することで、安全な製品設計を牽引する。同様に、セキュアな設計とプログラミングを牽引するためには脆弱性情報の公開は必要であり、それによって利用者の利益にもなる。
・ソフトウェア製品において、脆弱性情報公開は利用者の害にも利益にもなるわけだ。
答えが単純な問題じゃなく、矛盾した答えになる問題だから、「単純な答え」を求めちゃあいけない。「矛盾した答え」を受け入れてください。
Re: (スコア:0)
脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。
脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。
Re: (スコア:0)
閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。
脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。
Re: (スコア:0)
少し延期して、結局修正前に開示される事例が出ることに変わりはない。
それに脆弱性は製品のリリース時には生まれているわけだから、ブラックマーケットで取引されていれば、少し延ばすことがユーザーを救うとは限らない。
Re: (スコア:0)
少し公開を延期するシステムは必要だと思うんだよね。
「少し」の定義を教えてください。120日待ってるけどまだ足りない?
ユーザー保護を優先させるなら絶対間に合いますよね。
修正の優先度がおかしかったとしか思えない。
Re: (スコア:0)
いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。
影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……
# ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし
Re: (スコア:0)
いくら膨大なOSに絡むような物でも
「本気」で取り組めば120日もかかるはずはないよ。
MSはその辺の中小企業じゃないんだから。
潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
ようは、そう使ってないってだけのこと。
つまりはその程度の脆弱性って事。
本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。
それこそ互換性なんて気にせずにな。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
人月の神話とか読んだ方が良いのではないでしょうか
人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型
Re: (スコア:0)
費用対効果も危険性も無視して何でもかんでも本気出すわけはないし。
外部の大口ユーザーの利用状況確認なんかもあるから「マイクロソフト側の努力だけでは」どうにもならない部分もあるのに。
具体的な方策もなしに妄想で語っちゃっても説得力ないよ?
Re: (スコア:0)
>MSはその辺の中小企業じゃないんだから。
>潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
なかなかの釣り針ですねぇ 笑
さすがに、そんなでかい釣り針にひっかかるやつが・・・
いた・・・
Re: (スコア:0)
マイクロソフトが費用対効果を鑑みて脆弱性の修正を遅らせたというなら、それは「一ヶ月くらい放置しても問題ない程度の危険性の低い脆弱性だ」と判断したってことでしょ。親コメントと何も矛盾してないじゃないか。どこが妄想なんだい?
Re: (スコア:0)
投入人員数と生産量が比例するよう環境をコントロールするのがマネージャーの仕事ってことだ
Re: (スコア:0)
働いたことない人の拙い批判なんで勘弁してやってください
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
「本気」とか「やる気」とかを批判材料にするのは、能力の限界、資源制約という概念で物事を評価しない人なだけかと。
政治家だって、数字を駆使して計算し、計画を立てている様には見えないこともあるわけだし。
働いている人でも、本気、やる気を語る人は、広告塔には使えても、管理には使えないし、任せてはいけないと思うわけで。
(日本軍と同様の結果になってしまう。やる気があれば飲まず食わずで戦える。何そのやる気補正、という妄想設定。多分、漫画と現実の境界がおかしくなったんだろうね。まあ、多少経験があるから分かる。思考のベースが漫画的になるといえば分かりやすいかな。あるいは、人物評価の基準がマナーに偏るとか。)
多分、ここいらの住人は、「マナー」「態度」「やる気」で批判され、「リソース」で批判返しすることが日常なんでしょう。それでも出世するのがやる気派で苦労しているんだろう。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
その「優秀な技術者」を持ってして出来上がったのが、この様でございますなんですよね。(涙)
今風なタイトルにすると
「システム開発の過酷さ現実に咽び泣く優秀な技術者」
「プロジェクト成功で鼻高々な技術者、次期プロジェクトに夢と機能を詰め込み過ぎて息絶える」
「万能ツール・フレームワーク・言語を求めて騙され続ける優秀な技術者、いつになったら広告詐欺に気づく?」
Re: (スコア:0)
功名心だけでなく、利用者の安全のためにも公開が必要なんですよ。
自分が見つけられたのだからクラッカーも(既に)見つけている可能性がある。
だから修正パッチがあるなら適用すべきだけと、無いなら製品の利用を控えるなどの運用面での対策が必要になる。
運用面での対策は情報が届かなかった利用者には効果がないが、アンテナを張っている利用者の危険を減らすことが出来る。
修正パッチは運用面での対策よりも広い対象に効果があり、デメリットの有る運用面での対策を必要としなくなる。
すでに脆弱性が悪用されている可能性がある以上、どちらかの対策は一定日数内に実施される事
Re: (スコア:0)
究極的には、半端なルールによって一部界隈でのみ脆弱性情報が流通する状態よりは全世界平等に公開されてしまった方が大概マシ、という事だと思う。
過渡期のインパクトは大きい場合もあるが、綻びが正される方向に流れるのは間違いない。
今は (スコア:0)
JETじゃなくてACE(Access Connectivity Engine)だっけ?
Re: (スコア:0)
どっかのバージョンでJETじゃなくなってたはず
サポート期限内で影響受ける製品がいくつあるかっていうと、うーん…?っていう気が
Re: (スコア:0)
たしかに、そう言われればそうだなと思った。
https://github.com/thezdi/PoC/... [github.com] で使用しているのは Microsoft.Jet.OLEDB.4.0 ですね。
https://msdn.microsoft.com/ja-... [microsoft.com] を見るに非推奨。
PoC コードを Microsoft.Jet.OLEDB.4.0 のまま実行すると、cscript.exe がクラッシュしたけど、Microsoft.ACE.OLEDB.12.0 に変更したら「Microsoft Office A
Re: (スコア:0)
JETじゃなくてACE(Access Connectivity Engine)だっけ?
つまりこの件は
エースをねらえ!
であるということか!
探せば、いくらでも脆弱性は見つかる… (スコア:0)
IT業界の半永久的の課題なんだろうね。
マイクロソフトも、色々大変だなぁ…。
いずれにせよ、早急に修正すべきだ。
Re: (スコア:0)
「半永久的の課題」
Re: (スコア:0)
全世界的なブラックアウトが1年ぐらい続けば課題とはならないかもしれない。
関係ないが、最近のOSは不具合や深刻な脆弱性多すぎ! (スコア:0)
何のためのベータテストやねん、って感じするわ。
ベータ版がそのまま正式版になると変わらん気が。
最近の製品は、どこも品質落ちすぎ改悪しすぎや。
Re: (スコア:0)
上のコメントにもあるけど、JETは旧世代のデータベースだから、新しいのを使ってる人には関係ないんじゃない?問題は古い環境を引きついたせいで知らずに使ってる場合も相当あるだろうな、ってことだけど。
Re:マイクロソフトの製品なら (スコア:1)
素人にはわからないだろうけど、Microsoftは自社製品の脆弱性の情報をとても誠実に公開していて、それは本当に素晴らしいことなんだよ。
対照的なのがGoogleで、この会社は自社製品の脆弱性を一切公開しない。
そのくせ、今回のように、他社製品の脆弱性をわざわざ公開してゼロデイ脆弱性を生み出したりする。
素人目には、Microsoftの脆弱性のニュースばかりで、Googleのほうがよく見えるかもしれないけど、
製品の信頼性という面からみても、企業のモラルという面からみても、実態は正反対だからね。
Re:マイクロソフトの製品なら (スコア:3, 興味深い)
脆弱性とは違いますけど、Apple製品のライフサイクルの不透明さも似たようなものですね。
Microsoftは製品のライフサイクルを公表してサポート終了期日を告知するけど、Appleはサポート期限を事前告知しないだけでなく、終了した後も発表しないのでいつのまにかサポートが切れてしまう。
だから、公式にサポート終了を告知するMicrosoftはニュースになりよく叩かれるが、告知をしないAppleはニュースにならないので叩かれにくい。
ところで、今回のZero Day InitiativeはHPが主催しているようです。
GoogleのProject Zeroとは別物ですね。
Re: (スコア:0)
素人にはわからないだろうけど、Googleは自社製品のソースコードを公開していて、それは本当に素晴らしいことなんだよ。
対照的なのがMicrosoft、この会社は自社製品のソースコードをあまり公開しない。
そのくせ、今回のように、脆弱性が発見されても急いて対応してくれない。
※Android、Chromeの脆弱性情報は公開されています。ググってみてください。
※この数年、MicrosoftのOSS製品が増えてきました。いい傾向です。
※一開発者として、脆弱性を悪用せず無償で教えてくれるのはすごくありがたいことです。
Re: (スコア:0)
Googleのサービス・プロダクトのどれぐらいの割合を占めるの?
Re: (スコア:0)
敢えて突っ込むけれど、ソースコード開示とバイナリライセンスや保証は別だし、Googleだってオフィシャルなパッチが遅い事があって独自にどうにかできないメーカーは待っているしかない。
Microsoftが遅いのはバイナリ保証と互換性検証のためであって、金を出せば特別サポートも受けられるし、それはユーザーにとって「〜してくれない」というような対象じゃない。
Re: (スコア:0)
> 素人にはわからないだろうけど、Googleは自社製品のソースコードを公開していて
それ、玄人にもわからないと思うぞ。
Re: (スコア:0)
脆弱性の有無は素人にも関係するけど、ソースコードの公開は素人には本当にどうでもいいので……
Re: (スコア:0)
ほとんどの玄人にとってもどうでもいいことだよ。ソースが公開されていれば脆弱性が少ないかっていうと、全然そんなことないからね。