XP以来放置され続けたWindowsの入力機構に関する脆弱性、修正される 25
ストーリー by hylom
とりあえず入れましょう 部門より
とりあえず入れましょう 部門より
Anonymous Coward曰く、
8月13日(米国時間)にリリースされた今月のWindows UpdateではWindows XP以降に存在する重大な脆弱性の修正が行われているため、迅速に適用することが推奨されるようだ(Slashdot、Security NEXT、PC Watch)。
この脆弱性はProject ZeroのTavis Ormandy氏によって発見されたCTextFramework(CTF)に関するもの(MicrosoftのCVE-2019-1162ページ)。この脆弱性を悪用することで、サンドボックスに関係なく非特権ユーザーが容易に管理者権限を取得できる。
興味深いのは、Windows XP時代からこの脆弱性が存在しており約20年にわたり指摘されなかったことだ。そもCTFの意味すら明文化されていない。おそらくCommon Text Frameworkであろうが、脆弱性の宝庫とあってはCatch the flagと揶揄されても仕方なかろう。
「セキュリティ技術コンテスト」ことCTF (スコア:2)
> 脆弱性の宝庫とあってはCatch the flagと揶揄されても仕方なかろう。
Capture the Flag ですね。
CTextFramework の C は Class の C じゃない? (スコア:1)
MFC のクラス名ってみな 「Cなんたら」ってなってたと思うけど。
間違ってたらごめんなさい。
マクロの基本は検索置換(by y.mikome)
Re: (スコア:0)
合ってます。中の人がハンガリー人だったので。
https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%B3%E3%82%AC%E3%83%AA%E3%... [wikipedia.org]
https://ja.wikipedia.org/wiki/%E3%83%81%E3%83%A3%E3%83%BC%E [wikipedia.org]
Re: (スコア:0)
全然意味が分からないんだが……。
中の人って何の中よ。
ハンガリー人って関係あるの?
Re: (スコア:0)
プログラミングの(無勉強者による邪悪な)作法として、
システムハンガリアン記法というものがあります。
これは、データの型名(intとか、C(クラス)とか)を、
変数名やクラス名の接頭辞に使用するというものです。
# MFCはシステムハンガリアンで書かれており、Cは型を示しているため、
# クラスではないのか?というがツリーの趣旨
で、このシステムハンガリアンですが、
Micosoftが、Wordの開 [joelonsoftware.com]
Re: (スコア:0)
ChinkoTinkoFera
n と m (オフトピック) (スコア:0)
p の前は n ではなく、 m が適切では?
ディール (スコア:0)
しようがない (スコア:0)
一昔前なら仕様で突っぱねてたのに
ついに仕様を言い訳にできなくなる時代になったか
いいことだけど
SpectoreにMeltdownにこれといい
ベースの処理負荷増加具合が
茹ガエル的になってきてるよねぇ
# Snady、Ivyおじさんに世知辛く
Re: (スコア:0)
うちはスナディではなくサンディなので大丈夫かな
そしたらこんどは (スコア:0)
エクセルマクロ含むVB系が動かなくなったとか
どうすんのこれ
Re:そしたらこんどは (スコア:3, 参考になる)
丁度憂鬱になっていたので、皆も夏期休暇明けに向けて憂鬱になると良いよ
日本語の情報① [impress.co.jp]
日本語の情報② [softantenna.com]
英語の情報 [microsoft.com]
Win7~、WinSrv2008~の全部で発生する模様
はぁ、憂鬱だ
Re: (スコア:0)
VBAなんてアレなもん初めから使う気ないから無問題
正直ざまぁ としか
Re: (スコア:0)
ざまぁ〜〜〜〜 ってか?
Re: (スコア:0)
OfficeソフトのRPAにはほぼ必須。
COM経由で叩くとオーバーヘッドがヤバい。
このバグ、WSH全部が食らったりはしないのかな……?
Re: (スコア:0)
その話題はこっちで
8月のWindows UpdateでVB関係に不具合
https://security.srad.jp/story/19/08/16/1542222/ [security.srad.jp]
Re: (スコア:0)
だからマクロをC#で書けるようにしろとあれほど
このツールは何だろう (スコア:0)
何やら大層なツールが公開されてるけど、これは何に使うものなんだ?
https://github.com/taviso/ctftool [github.com]
脆弱性自体はMicrosoftのAdviseryを読む限りはローカルの権限昇格の脆弱性で、まあよくあるやつに見える。
(タレコミ氏は意気揚々とMicrosoftをディスってるけど、別にたいしたものにも見えない)
Re: (スコア:0)
(タレコミ氏は意気揚々とMicrosoftをディスってるけど、別にたいしたものにも見えない)
そういう事言ってるとまた信者に認定 [srad.jp](笑)されちゃうぞww
Re: (スコア:0)
アンチの信者さんですねw
Re: (スコア:0)
まあよくあるけどまあやばい奴だと思うよ。
これXP,Vistaは対象外なのな? (スコア:0)
XP,Vistaにも適用せざるほど重大では無いのか
XP,Vistaは既知の入力機構の脆弱性すら放置された危険なOSなのか
Re:これXP,Vistaは対象外なのな? (スコア:1)
XPは「詳細なテキストサービスをオフにする」でOK
Re: (スコア:0)
ボクの股間のXPが破裂しちゃうぞ?