GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 51
ストーリー by headless
公表 部門より
公表 部門より
GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096、 Neowinの記事、 HackReadの記事、 Bleepng Computerの記事)。
この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性も6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。
Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。
この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性も6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。
Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。
プリンターと言えば (スコア:0, 既出)
Googleクラウド プリントが年末で終了です。
約10年とGoogleにしては長続きしたサービスでした
https://www.google.com/intl/ja_ALL/cloudprint/learn/ [google.com]
Re:プリンターと言えば (スコア:1)
2021 年 1 月 1 日より、オペレーティング システムの種類にかかわらず、すべてのデバイスでクラウド プリントを使用した印刷はできなくなります。お使いのプラットフォームの印刷インフラストラクチャで使用できる、代わりの印刷ソリューションをお探しください。
よくここまで難解に書けるなぁ。
「2021 年 1 月 1 日から、すべての製品で『Google クラウド プリント』は使えなくなります。代わりの印刷方法をお探しください」でいいじゃん。
「お使いのプラットフォームの印刷インフラストラクチャで使用できる…」とか、ルー大柴じゃないんだからさ。
一般人向けに書こう、読んでもらおうという気は無いのかね。
ドキュメントのQA係はインテリとばかり付き合ってるんじゃないか。
Re:プリンターと言えば (スコア:2)
所詮、元が英文でその日本語訳を表示してるだけだからなぁ。
自分は英語ネイティブではないが、元の英文は英語ネイティブにとっては理解しやすい文なのかもしれない。
>一般人向けに書こう、読んでもらおうという気は無いのかね。
>ドキュメントのQA係はインテリとばかり付き合ってるんじゃないか。
面白いのは、この日本語版の文のオリジナルと思われる英語版の文章をGoogle翻訳にかけると、
この日本語版の文とは若干違う文に翻訳されるんだよね。
自前で翻訳ソリューションを持っているGoogleなのだから、こういうのはすべて自動翻訳なのかと思っていたけど、
実は少なくとも人力の意訳が入っているということになる。
意訳が入ってこの程度の日本語なのかとも思うが、意訳しすぎてオリジナルの意味が失われることもあるので、そこの線引きは難しい。
Googleくらいになると表に出すドキュメントの数量も半端ないだろうから、全部を正確に人間の目でチェックすることは不可能だろう。
人間がチェックするとなると複数の担当者でチェック作業をすることになり、担当者ごとの翻訳の揺れも出てくるだろうし、
そういうのを防ぐためでも自動翻訳されたものをいじるのは最小限にしてるんじゃないかな。
結果的にルー大柴になるのはやむを得ないだろう。
Re:プリンターと言えば (スコア:1)
いやあの、多言語対応でも元の文章が大差ない難しさですけど。
わざわざプラットフォームなんて言葉を使う必要はないと思いますよ。
要は英語の段階から難しいということです。
Re: (スコア:0)
AndroidをGoogleが直接提供しているのでなくて(改造したりしていて)端末メーカーが第一責任持っているってことかも。
で、それぞれ端末メーカーが提供しているAndroidそれぞれあるのをプラットフォームと総称しているのでは。
Microsoftの技術力低下ヤバイ (スコア:0)
6月に修正したとされていた脆弱性が完全に直しきれておらず、それをGoogleに未修正だと指摘されるってどんだけ
百歩譲って脆弱性を完全に修正できていなかったことには目を瞑るとしても、せめてMicrosoft自身で気づいて直してくれ
てかこの手の「修正したと思っていたけど実は」みたいな脆弱性があとどれくらいあるんだ…
Re:Microsoftの技術力低下ヤバイ (スコア:1)
てかこの手の「修正したと思っていたけど実は」みたいな脆弱性があとどれくらいあるんだ…
たくさん。(バグも含む)
11月末のKBでIME絡み全部直ったと思いきやまだまだ未知のバグが残ってるようだしなぁ。
# 正直Microsoftも把握できてないはず。
# エンバグ頻繁に起こすしなぁ。
# 前に直したはずのものがまた再現はあまりないっぽいけど。
Re: (スコア:0)
タレコミによると、
>テストで問題が見つかったため修正は1月に延期される。
と言う話らしいので、これでパッチ配信を強行したら、それこそ「何もしていないのにWindows10が壊れた」案件になってしまうやつでは。
Re: (スコア:0)
11月末のKBでむしろIMEがらみのバグは新たに増えている
Re: (スコア:0)
てかこの手の「修正したと思っていたけど実は」みたいな脆弱性があとどれくらいあるんだ…
昔からプリンタサービスリスタートしないと印刷できないなんて
珍しくもないから治ったことなんて一度もないんじゃないかな
Re: (スコア:0)
OS屋としてのMicrosoftはWindows10と共に終わってしまった感じだね
Re: (スコア:0)
その言葉の通りあなたの中でも終わってくれませんかね。Windows 10の思想は当面変わらないので何か期待しても無駄だと思います。
Re: (スコア:0)
続きはWSL2ですね。MS-DOS 3.xごろからUNIX風な環境にして開発してきたのでない胸が熱くなりました。
Re: (スコア:0)
Wordの文章校正にめぐまれて来なかったからでしょうか、
文章力もMS-DOS 3.xごろから発展していないように見受けられます。
Re: (スコア:0)
Wordは使い物にならないのでテキストエディタがいいですよ。胸はおおきくなりませんが。
1/12まで待てなかったのかよ (スコア:0)
悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?
Re: (スコア:0)
Microsoft依存度を下げるしかないんじゃね?
Re:1/12まで待てなかったのかよ (スコア:2, すばらしい洞察)
AzureやAWSとバグとパッチ公開について事前協議してたのに、GCEでは適用が終わったからっていって先駆けて公開したという実績がGoogleにはあるからね、仕方ないね
Re: (スコア:0)
spector/meltdown?
Re: (スコア:0)
弊社はとっくの昔に完全Microsoftフリー。
取引先にも要請してて、メールにXLSとかいう添付ファイルがあったら
契約違反として厳しく問いただすという攻性っぷり。
とても快適。
Re: (スコア:0)
そもそもサポート切れだしな→xls
Re: (スコア:0)
んにゃことはない。
もう、ReadOnlyにしてほしいが。
Re: (スコア:0)
AZUREフリーかどうかはどうやって確認してるんですか?
IPアドレスで弾いたりしてるのかな。
Re: (スコア:0)
逆に、御社が他社にデータを送る時は、どういったフォーマットを使用されているのでしょうか?
Re: (スコア:0)
そりゃ、国際標準のオープンフォーマットだよ!
Re: (スコア:0)
xlsx「許された。」
Re: (スコア:0, オフトピック)
いや、ゼロデイ公開したProject Zeroを責めるのは違う。
だってルールを破ったのはM$の方でしょ?
M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。
まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
だからルール通りに公表した。
全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。
Re:1/12まで待てなかったのかよ (スコア:3, すばらしい洞察)
> だってルールを破ったのはM$の方でしょ?
いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。
「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。
MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。
なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。
Re: (スコア:0)
確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程で
Microsoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの
結局間に合わないということで公開された流れのように読めました。
Issue へのコメント参照。
Re:1/12まで待てなかったのかよ (スコア:1)
うん、そうなんだけど、
それで「ルールを破った」という日本語は適切なのか?というのが #3949712 の意見なわけだ。
Re:1/12まで待てなかったのかよ (スコア:2)
なるほど。
そこは訂正します。
Re: (スコア:0)
Project Zeroの提示する「90日」「+14日」に何か根拠があって、その期限にどうしても間に合わせる必要があるのか?
と考えると別にそんなことはなくて、+14日が+20日に伸びたところで大した差はない。
もしMSが修正パッチを出す気がないなら脆弱性を公開して注意を呼び掛けるのも致し方ないが、
予定されている修正パッチを待たずに脆弱性を公開すると年末年始に多くの利用者を危険にさらすことになる。
3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
Re:1/12まで待てなかったのかよ (スコア:1)
大事なことだからもう一度言います。
Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
本当に犯罪者を利することになるなら公開なんてやらないでしょ。
公開してもほとんど問題ない、つまりリスクがかなり低いとの見通しだから公開するのだと気付いてください。
Re: (スコア:0)
Project Zeroは90日+14日ルールに基づいて公開してるだけでしょ。
悪用リスクが高いからと公開を先延ばしにしたケースがあったなら教えて?
Re: (スコア:0)
「特に必要のない情報公開で被害者が出るかもしれないけど少数なら問題なし」って考え方こわすぎるな
Re: (スコア:0)
・脆弱性修正への意識を高めるため、公開ルールは守る
だと思うんだけど、なんで被害者でる前提?
Re:1/12まで待てなかったのかよ (スコア:1)
>なんで被害者でる前提?
私は「被害者」なんて一字も書いてないので「犯罪者」ってところに引っかかってるんですよね?
私は元コメントが「犯罪者を利する」って書いてあったのでそれを受けただけなんですよ。
そのコメントを見て「被害者が出る前提」だと認識したのであれば、それは元コメントがそういう主張をしているわけで、
そもそも私の主張ではありません。
つまり元コメント側にぷら下げるのが正解では?
Re:1/12まで待てなかったのかよ (スコア:1)
そういうケースがあったかどうかは知りません。前例があれば先延ばしにすることがあるのかどうかも知りません。
少なくとも今回M$側はProject Zero側に公開の先延ばしを申し入れたわけで
そういう先延ばしを申し入れることができる体制は重要だと思うし、
その申し入れを受け入れることも拒否できることもできる体制がある、ということもやはり同じくらい重要だと思っています。
で、私が言いたかったことは、元コメントの方が
>3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
>犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
と言っていて、そういった行動や体制をまるで否定しているかの意見を述べている、これは違うんじゃないかということなんです。
結果としてProject Zero側は先延ばしを拒否したわけですが、最初からはM$の申し入れを全否定したわけじゃなかったと思うんです。
そうじゃなかったらそもそも協議自体を受け入れるはずがない、協議を受けた時点で聞く耳は持っていたんですよ。
だから今回の件もそうだし同様の場合もそうですが、単純にルールに基づいて公開しただけとは私には思えません。リスクを考えた末の公開だと思われるわけです。
その上でルールを変更してでも公開・非公開を変更することはアリだと思いますし、前例がないからやりませんではダメだと思います。
一様に「90日+14日ルールに基づいて公開してるだけ」だったらやはり元コメントを引用するなら「犯罪者を利する」ことになるだけです。
誤解があったら申し訳ないです。
Re: (スコア:0)
被害というよりは、
"公開することで発生するリスク"と"公開しないことで発生するリスク"を天秤にかけて
少ない方を取っている、ただそれだけ
一般的な考え方だとこうなるね
自分の身の回りでも同じようなことたくさんあるはず、あなたが気付いていないだけで
Re: (スコア:0)
なるほど確かにそうですね。
3ヶ月以内に修正パッチの公開まで済ませられる世の中に強制的にしようとする Project Zero のやり方と、
現実とのギャップですか。
Re: (スコア:0)
その「Project Zeroのルール」が他社にむけて強制力が無い「内部ルール」でしかない
Re: (スコア:0)
12月にはいると、USの連中ほとんど仕事しないからしゃーない。
Re: (スコア:0)
インド人しばいたらええやん
Re:1/12まで待てなかったのかよ (スコア:1)
インド人もアメリカナイズされるのでUSの連中に含めてよい。
# インド本土だとそもそも指示を出す連中がUSなので…
プログラマーから言わせてもらえば「ポンコツの極みを装った無心」 (スコア:0)
「直そうと思えば(1日で)直せますが、先立つものが必要なんですよね。」
とでも言いたそうな案件だな。
#役員報酬はお高いですか、そうですか。
Re: (スコア:0)
先立つもの(リグレッションテスト)
Re: (スコア:0)
先立つもの(ドキュメント)
Re: (スコア:0)
「直そうと思えば(1日で)直せますが、二の舞(不完全修正)になるかもしれません。」
脅迫 (スコア:0)
Googleは、何故、このような脅迫めいたことをするのだろう?
Re: (スコア:0)
MicrosoftもGoogleの脆弱性を90日間温めて公開してやればいいんですよ。
それが市場競争ってヤツです。