パスワードを忘れた? アカウント作成
15212320 story
暗号

Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 25

ストーリー by headless
再会 部門より
あるAnonymous Coward 曰く、

先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。

なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ありがてぇ (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2021年02月21日 16時10分 (#3982077)

    10年20年昔のソフトもちゃんと面倒見てくれる。
    これやってくれるのはWindowsしかない。

  • by Anonymous Coward on 2021年02月21日 16時55分 (#3982090)

    旧来のSHA-1署名(2011年3月31日03:38:42付)付きのものに追加でSHA-2署名したわけではなく、SHA-2署名単体(2021年2月18日06:01:01付)

    ファイルサイズが若干大きくなっているが(292,184バイト→295,320バイト)、ファイルバージョン (6.0.2600.0)、製品バージョン (9.29.1974.0)は変わらず(当然だが)

    • by Anonymous Coward on 2021年02月21日 17時15分 (#3982095)

      デュアル署名ではないので、Windows XP、Vista、KB4474419 [microsoft.com]を入れる前のWindows 7ではインストーラーの署名を検証できない。またWebインストーラーがダウンロード時に行う署名の検証もSHA-2オンリーになっているらしく、それらの環境ではWebインストーラーはインストールに失敗する。スタンドアロン版 [microsoft.com]ならインストール可能

      親コメント
      • by Anonymous Coward

        もともとSHA-1はセキュリティの問題があるという理由で提供終了したわけで、仕方ない感じですね。

      • by Anonymous Coward

        それ署名の検証をスキップ出来るのかな

        Macだと、Xcodeのインストーラーファイル(的なファイル)をローカルに保存していたら、ある日appleが署名を更新したらしくてそのバイナリがインストール不可になっていてappleのサイトから再DLする事になった。
        署名を無視してxcodeをインストールする方法はどうしてもわからなかった。

        • by Anonymous Coward on 2021年02月21日 22時47分 (#3982187)

          起動時の検証は失敗しても発行者名が表示されないだけで無視してそのまま起動することはできるけど、Webインストーラーのダウンロード時の検証はスキップできない。ていうかできたらWebインストーラー経由でマルウェアを送り込める脆弱性になりかねない。

          親コメント
      • by Anonymous Coward

        ちなみにSHA-1署名版のWebインストーラーでも当該環境ではエラーになった。サーバーから落ちてくるCABファイルがSHA-2オンリーに差し替えられたんだろうな

    • by Anonymous Coward on 2021年02月21日 22時58分 (#3982190)

      確かにdxwebsetup.exeやdirectx_Jun2010_redist.exeの署名はsha256に変わっているが、インストールされるモジュール自体はsha1署名のままだよ。

      親コメント
      • by Anonymous Coward on 2021年02月21日 23時20分 (#3982195)

        それは更新されたブログ記事にも書かれてるね。

        As of February 20, 2021, these three downloads have been republished using SHA-256 signing for the ‘outer’ containers–there’s been no change to the contents or binaries. The payload DLLs are still using SHA-1, and there are known security issues, so it is highly recommended you move to the replacements mentioned in this post.

        親コメント
      • by Anonymous Coward

        確かにdxwebsetup.exeやdirectx_Jun2010_redist.exeの署名はsha256に変わっているが、インストールされるモジュール自体はsha1署名のままだよ。

        これは一言申さねばなるまい

        謀ったなsha!

    • by Anonymous Coward

      デュアリストなのさ

  • by Anonymous Coward on 2021年02月21日 16時32分 (#3982086)

    むかしのWin95やらWin98時代は、不安定なPCに、DirectX最新版を入れると、
    システムファイルの多くが比較的新しいものに入れ替わり、
    もともと古いバージョンだったり、他のアプリによって旧バージョンに入れ替えられたシステムファイルが
    新しくなり、システム安定性が向上するってう裏技があった

    だから、業務用PCにDirextX入れたりしてた

    その他にも、マイクロソフトが出す複数のプログラムの最新版を入れると、システムファイルが新しくなり安定性向上するので、
    それを組み合わせて安定性向上させてた

    • by asanagi (22217) on 2021年02月21日 18時49分 (#3982119) 日記

      そう言うのを聞くと、逆に動かなくなったー
      と言う悲劇の方が大きく流布されそうだな
      あまりネットが普及してなかったせいか

      親コメント
      • by Anonymous Coward

        そりゃWindows95の頃じゃMSNはパソコン通信だったからな。
        OSとしてTCP/IPスタックを標準装備したとはいえ、
        MS自らネットの普及をそれほど考えてなかったんだろ。

        • by Anonymous Coward

          いやマイクロソフトネットワークを普及させたかったんですよ。
          ネットイコールインターネットという世代か。

    • by Anonymous Coward

      MDAC 各メジャーバージョンの最新安定版
      VCランタイム 各メジャーバージョンの最新安定版
      VBランタイム 各メジャーバージョンの最新安定版
      DirectX 最新安定版
      MSが提供してる各種アップデート類

      Win95/98の場合、これらをおおむねリリースの古い順から新しい順に入れると、
      システムファイルの多くが最新安定版になって安定性が向上した

      システムファイルがアプリのインストーラーによって上書きされるWin9x系OSの弱点を利用した安定化手法

      • by Anonymous Coward

        >> Win9x系OSの弱点

        MS公式のインストーラーを同梱してればNT系でもシステムファイルは更新されるぞ。
        アプリでIEのバージョンが指定されてたりするのはそれでシステムファイルが更新されたからなんだぜ。

        • by Anonymous Coward on 2021年02月22日 6時57分 (#3982243)

          DLL Hellとか名前がついて、対策としてDLLをアプリケーションのディレクトリに配置するのが推奨されるようになって、それを支援するSide-by-Side maniestなどの仕組みが導入されて、gdiplusの脆弱性やDLLインジェクション対策として再びシステムディレクトリ(またはGAC)のDLLを使うのが推奨されるようになって、と行ったり来たりしてるな

          親コメント
          • by Anonymous Coward

            DLLインジェクション対策じゃなくDLLハイジャック対策じゃね

  • by Anonymous Coward on 2021年02月22日 18時53分 (#3982605)

    Webインストーラーの日本語版ページ [microsoft.com]が復活した。

    あとタレコミには貼らなかったけど、DirectX SDK [microsoft.com]とDirectX End-User Runtimes (June 2010) [microsoft.com]もタレコミ時点ですでに復活していた。これらは本来開発者が使用することしか想定されていないので、もともと英語版ページしかない。

    • by Anonymous Coward

      DirectX End-User Runtimes (June 2010)にも日本語版を含む他言語版のページが追加された。ちょっと意外。公開日も1/23に更新されているけど、落ちてくるファイル自体は1/20のものからまったく変わっていないようだ。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...