パスワードを忘れた? アカウント作成
13725430 story
Windows

MicrosoftのJETデータベースエンジンにゼロデイ脆弱性 41

ストーリー by headless
期限 部門より
MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事アドバイザリーSoftpediaの記事The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。
  • by Anonymous Coward on 2018年09月24日 14時17分 (#3486048)

    Office系のファイルにデータリンクされてるとアウトってこととかな
    開かせやすさでいうとWordに
    差し込み印刷系とかExcel貼り付けとかですかね

    つまりメール添付のOfficeファイルに気を付けろってこと?
    ならいつも通り
    開く奴は気にせず開くし
    阿呆な奴は社外秘ファイルをオンライン検閲に投げるし
    平常運転でいいんじゃないかな

    境界外書き込みの脆弱性だと
    Windows 10ならExploit Protectionで
    防げそうな気もするけどだめなんすかね

    # Windows Defenderのエンジン自体も噛んでたら笑えんが

    ここに返信
    • by Anonymous Coward

      JETエンジンは他の製品の内部で使われたりするので(インストーラとか)、そっち方面でなにかある可能性はあるかも。
      具体的には思いつきませんが。

    • by Anonymous Coward

      つhttps://blog.trendmicro.co.jp/archives/19506

  • by Anonymous Coward on 2018年09月24日 15時18分 (#3486062)

    いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。

    ここに返信
    • まあ、功名心という見方もできるけど、

      ・製品の欠陥を公表して、利用者に注意を呼びかけ、製造者には修理を迫る。

      と考えれば、公益告知かと。それに大企業ってのは不都合や悪事を隠すってイメージがあるから、しょうがないかと(笑)
      ただ、上記はあくまで一般的な製品にあてはまって、ソフトウェア製品になると攻撃者という存在があるのでややこしい。
      一般的な製品は公表の利益があるが、ソフトウェア製品の場合は公表には不利益がある。すなわち攻撃者を有利にする。

      基本的に脆弱性情報の公開は攻撃者を利し利用者の害になる。かと言って非公開をとすれば、セキュア・プログラミングが普及しないため、攻撃者有利な環境がはびこる。一般製品を例にすれば、設計ミス(製品事故)を非公開とすれば、安全な製品設計につながらない。製品事故を告発することで、安全な製品設計を牽引する。同様に、セキュアな設計とプログラミングを牽引するためには脆弱性情報の公開は必要であり、それによって利用者の利益にもなる。

      ・ソフトウェア製品において、脆弱性情報公開は利用者の害にも利益にもなるわけだ。

      答えが単純な問題じゃなく、矛盾した答えになる問題だから、「単純な答え」を求めちゃあいけない。「矛盾した答え」を受け入れてください。
    • by Anonymous Coward

      脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。
      脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。

      • by Anonymous Coward

        閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。

        脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。

        • by Anonymous Coward

          少し延期して、結局修正前に開示される事例が出ることに変わりはない。
          それに脆弱性は製品のリリース時には生まれているわけだから、ブラックマーケットで取引されていれば、少し延ばすことがユーザーを救うとは限らない。

        • by Anonymous Coward

          少し公開を延期するシステムは必要だと思うんだよね。

          「少し」の定義を教えてください。120日待ってるけどまだ足りない?
          ユーザー保護を優先させるなら絶対間に合いますよね。
          修正の優先度がおかしかったとしか思えない。

          • by Anonymous Coward

            いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。
            影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……

            # ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし

            • by Anonymous Coward

              いくら膨大なOSに絡むような物でも
              「本気」で取り組めば120日もかかるはずはないよ。
              MSはその辺の中小企業じゃないんだから。
              潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
              ようは、そう使ってないってだけのこと。
              つまりはその程度の脆弱性って事。
              本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。
              それこそ互換性なんて気にせずにな。

              • by Anonymous Coward on 2018年09月25日 9時05分 (#3486300)

                人月の神話とか読んだ方が良いのではないでしょうか
                人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型

              • by Anonymous Coward

                費用対効果も危険性も無視して何でもかんでも本気出すわけはないし。
                外部の大口ユーザーの利用状況確認なんかもあるから「マイクロソフト側の努力だけでは」どうにもならない部分もあるのに。

                具体的な方策もなしに妄想で語っちゃっても説得力ないよ?

              • by Anonymous Coward

                >MSはその辺の中小企業じゃないんだから。
                >潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。

                なかなかの釣り針ですねぇ 笑
                さすがに、そんなでかい釣り針にひっかかるやつが・・・

                いた・・・

              • by Anonymous Coward

                マイクロソフトが費用対効果を鑑みて脆弱性の修正を遅らせたというなら、それは「一ヶ月くらい放置しても問題ない程度の危険性の低い脆弱性だ」と判断したってことでしょ。親コメントと何も矛盾してないじゃないか。どこが妄想なんだい?

              • by Anonymous Coward
                だからっちゅって人を減らして解決するものでもなし
                投入人員数と生産量が比例するよう環境をコントロールするのがマネージャーの仕事ってことだ
              • by Anonymous Coward

                働いたことない人の拙い批判なんで勘弁してやってください

              • それは、あまり関係ないと思うけど
                「本気」とか「やる気」とかを批判材料にするのは、能力の限界、資源制約という概念で物事を評価しない人なだけかと。
                政治家だって、数字を駆使して計算し、計画を立てている様には見えないこともあるわけだし。
                働いている人でも、本気、やる気を語る人は、広告塔には使えても、管理には使えないし、任せてはいけないと思うわけで。
                (日本軍と同様の結果になってしまう。やる気があれば飲まず食わずで戦える。何そのやる気補正、という妄想設定。多分、漫画と現実の境界がおかしくなったんだろうね。まあ、多少経験があるから分かる。思考のベースが漫画的になるといえば分かりやすいかな。あるいは、人物評価の基準がマナーに偏るとか。)

                多分、ここいらの住人は、「マナー」「態度」「やる気」で批判され、「リソース」で批判返しすることが日常なんでしょう。それでも出世するのがやる気派で苦労しているんだろう。
              • ちょうど、「人月の神話 新装版 狼人間を撃つ銀の弾はない」を読んだとこだけど「タールの沼」「セカンドシステム症候群」「銀の弾などない」の方が付ける薬としては適当でしょうね。
                その「優秀な技術者」を持ってして出来上がったのが、この様でございますなんですよね。(涙)

                今風なタイトルにすると
                「システム開発の過酷さ現実に咽び泣く優秀な技術者」
                「プロジェクト成功で鼻高々な技術者、次期プロジェクトに夢と機能を詰め込み過ぎて息絶える」
                「万能ツール・フレームワーク・言語を求めて騙され続ける優秀な技術者、いつになったら広告詐欺に気づく?」
    • by Anonymous Coward

      功名心だけでなく、利用者の安全のためにも公開が必要なんですよ。
      自分が見つけられたのだからクラッカーも(既に)見つけている可能性がある。
      だから修正パッチがあるなら適用すべきだけと、無いなら製品の利用を控えるなどの運用面での対策が必要になる。

      運用面での対策は情報が届かなかった利用者には効果がないが、アンテナを張っている利用者の危険を減らすことが出来る。
      修正パッチは運用面での対策よりも広い対象に効果があり、デメリットの有る運用面での対策を必要としなくなる。
      すでに脆弱性が悪用されている可能性がある以上、どちらかの対策は一定日数内に実施される事

    • by Anonymous Coward

      究極的には、半端なルールによって一部界隈でのみ脆弱性情報が流通する状態よりは全世界平等に公開されてしまった方が大概マシ、という事だと思う。
      過渡期のインパクトは大きい場合もあるが、綻びが正される方向に流れるのは間違いない。

  • by Anonymous Coward on 2018年09月24日 17時33分 (#3486126)

    JETじゃなくてACE(Access Connectivity Engine)だっけ?

    ここに返信
    • by Anonymous Coward

      どっかのバージョンでJETじゃなくなってたはず
      サポート期限内で影響受ける製品がいくつあるかっていうと、うーん…?っていう気が

    • by Anonymous Coward

      たしかに、そう言われればそうだなと思った。
      https://github.com/thezdi/PoC/... [github.com] で使用しているのは Microsoft.Jet.OLEDB.4.0 ですね。
      https://msdn.microsoft.com/ja-... [microsoft.com] を見るに非推奨。

      PoC コードを Microsoft.Jet.OLEDB.4.0 のまま実行すると、cscript.exe がクラッシュしたけど、Microsoft.ACE.OLEDB.12.0 に変更したら「Microsoft Office A

    • by Anonymous Coward

      JETじゃなくてACE(Access Connectivity Engine)だっけ?

      つまりこの件は
      エースをねらえ!
      であるということか!

  • by Anonymous Coward on 2018年09月24日 20時58分 (#3486188)

    IT業界の半永久的の課題なんだろうね。
    マイクロソフトも、色々大変だなぁ…。
    いずれにせよ、早急に修正すべきだ。

    ここに返信
    • by Anonymous Coward

      「半永久的の課題」

      • by Anonymous Coward

        全世界的なブラックアウトが1年ぐらい続けば課題とはならないかもしれない。

  • 何のためのベータテストやねん、って感じするわ。
    ベータ版がそのまま正式版になると変わらん気が。
    最近の製品は、どこも品質落ちすぎ改悪しすぎや。

    ここに返信
    • by Anonymous Coward

      上のコメントにもあるけど、JETは旧世代のデータベースだから、新しいのを使ってる人には関係ないんじゃない?問題は古い環境を引きついたせいで知らずに使ってる場合も相当あるだろうな、ってことだけど。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...