Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 25
ストーリー by headless
再会 部門より
再会 部門より
あるAnonymous Coward 曰く、
先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。
なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。
ありがてぇ (スコア:5, すばらしい洞察)
10年20年昔のソフトもちゃんと面倒見てくれる。
これやってくれるのはWindowsしかない。
デュアル署名ではない (スコア:2, 参考になる)
旧来のSHA-1署名(2011年3月31日03:38:42付)付きのものに追加でSHA-2署名したわけではなく、SHA-2署名単体(2021年2月18日06:01:01付)
ファイルサイズが若干大きくなっているが(292,184バイト→295,320バイト)、ファイルバージョン (6.0.2600.0)、製品バージョン (9.29.1974.0)は変わらず(当然だが)
Re:デュアル署名ではない (スコア:2, 参考になる)
デュアル署名ではないので、Windows XP、Vista、KB4474419 [microsoft.com]を入れる前のWindows 7ではインストーラーの署名を検証できない。またWebインストーラーがダウンロード時に行う署名の検証もSHA-2オンリーになっているらしく、それらの環境ではWebインストーラーはインストールに失敗する。スタンドアロン版 [microsoft.com]ならインストール可能
Re: (スコア:0)
もともとSHA-1はセキュリティの問題があるという理由で提供終了したわけで、仕方ない感じですね。
Re: (スコア:0)
SHA-2非対応環境もサポート終了した環境ですしね
Re: (スコア:0)
ありがてぇ
10年20年昔のソフトもちゃんと面倒見てくれる。
これやってくれるのはWindowsしかない。
Re:デュアル署名ではない (スコア:1)
Re: (スコア:0)
それ署名の検証をスキップ出来るのかな
Macだと、Xcodeのインストーラーファイル(的なファイル)をローカルに保存していたら、ある日appleが署名を更新したらしくてそのバイナリがインストール不可になっていてappleのサイトから再DLする事になった。
署名を無視してxcodeをインストールする方法はどうしてもわからなかった。
Re:デュアル署名ではない (スコア:1)
起動時の検証は失敗しても発行者名が表示されないだけで無視してそのまま起動することはできるけど、Webインストーラーのダウンロード時の検証はスキップできない。ていうかできたらWebインストーラー経由でマルウェアを送り込める脆弱性になりかねない。
Re: (スコア:0)
ちなみにSHA-1署名版のWebインストーラーでも当該環境ではエラーになった。サーバーから落ちてくるCABファイルがSHA-2オンリーに差し替えられたんだろうな
実は変わっていない。 (スコア:1)
確かにdxwebsetup.exeやdirectx_Jun2010_redist.exeの署名はsha256に変わっているが、インストールされるモジュール自体はsha1署名のままだよ。
Re:実は変わっていない。 (スコア:2, 参考になる)
それは更新されたブログ記事にも書かれてるね。
Re:実は変わっていない。 (スコア:1)
引用元を貼り忘れた。
https://walbourn.github.io/where-is-the-directx-sdk-2021-edition/ [github.io]
Re: (スコア:0)
確かにdxwebsetup.exeやdirectx_Jun2010_redist.exeの署名はsha256に変わっているが、インストールされるモジュール自体はsha1署名のままだよ。
これは一言申さねばなるまい
謀ったなsha!
Re: (スコア:0)
デュアリストなのさ
安定性向上 (スコア:1)
むかしのWin95やらWin98時代は、不安定なPCに、DirectX最新版を入れると、
システムファイルの多くが比較的新しいものに入れ替わり、
もともと古いバージョンだったり、他のアプリによって旧バージョンに入れ替えられたシステムファイルが
新しくなり、システム安定性が向上するってう裏技があった
だから、業務用PCにDirextX入れたりしてた
その他にも、マイクロソフトが出す複数のプログラムの最新版を入れると、システムファイルが新しくなり安定性向上するので、
それを組み合わせて安定性向上させてた
Re:安定性向上 (スコア:2)
そう言うのを聞くと、逆に動かなくなったー
と言う悲劇の方が大きく流布されそうだな
あまりネットが普及してなかったせいか
Re: (スコア:0)
そりゃWindows95の頃じゃMSNはパソコン通信だったからな。
OSとしてTCP/IPスタックを標準装備したとはいえ、
MS自らネットの普及をそれほど考えてなかったんだろ。
Re: (スコア:0)
いやマイクロソフトネットワークを普及させたかったんですよ。
ネットイコールインターネットという世代か。
Re: (スコア:0)
MDAC 各メジャーバージョンの最新安定版
VCランタイム 各メジャーバージョンの最新安定版
VBランタイム 各メジャーバージョンの最新安定版
DirectX 最新安定版
MSが提供してる各種アップデート類
Win95/98の場合、これらをおおむねリリースの古い順から新しい順に入れると、
システムファイルの多くが最新安定版になって安定性が向上した
システムファイルがアプリのインストーラーによって上書きされるWin9x系OSの弱点を利用した安定化手法
Re: (スコア:0)
>> Win9x系OSの弱点
MS公式のインストーラーを同梱してればNT系でもシステムファイルは更新されるぞ。
アプリでIEのバージョンが指定されてたりするのはそれでシステムファイルが更新されたからなんだぜ。
Re:安定性向上 (スコア:1)
DLL Hellとか名前がついて、対策としてDLLをアプリケーションのディレクトリに配置するのが推奨されるようになって、それを支援するSide-by-Side maniestなどの仕組みが導入されて、gdiplusの脆弱性やDLLインジェクション対策として再びシステムディレクトリ(またはGAC)のDLLを使うのが推奨されるようになって、と行ったり来たりしてるな
Re: (スコア:0)
DLLインジェクション対策じゃなくDLLハイジャック対策じゃね
更新 (スコア:1)
Webインストーラーの日本語版ページ [microsoft.com]が復活した。
あとタレコミには貼らなかったけど、DirectX SDK [microsoft.com]とDirectX End-User Runtimes (June 2010) [microsoft.com]もタレコミ時点ですでに復活していた。これらは本来開発者が使用することしか想定されていないので、もともと英語版ページしかない。
Re: (スコア:0)
DirectX End-User Runtimes (June 2010)にも日本語版を含む他言語版のページが追加された。ちょっと意外。公開日も1/23に更新されているけど、落ちてくるファイル自体は1/20のものからまったく変わっていないようだ。