【セキュリティ】複数ソフトに任意のコードが実行される脆弱性 アップデートは公開済み(10/10/15)
1 : ◆amidaMovTg @あみだくじψ ★:
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月15日、3種類のソフトに発見された
脆弱性に関するセキュリティ情報を公開し、ユーザーに注意を呼び掛けた。
脆弱性が見つかったのは、ファイル圧縮・解凍ソフトの「Lhaplus」、ファイル解凍ソフトの「XacRett」、テキストエディターの
「K2Editor」。各ソフトには実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んで
しまう脆弱性が存在する。第三者が任意のコードを実行できてしまうという。
影響を受けるソフトのバージョンは、Lhaplus Version 1.57以前、XacRett version #49以前、K2Editor r.1.5.8以前となる。
各ソフトとも開発者から脆弱性を解決したアップデート版が公開されており、IPAとJPCERT/CCはユーザーに早期の
適用を促している。
http://www.itmedia.co.jp/enterprise/articles/1010/15/news064.html
脆弱性に関するセキュリティ情報を公開し、ユーザーに注意を呼び掛けた。
脆弱性が見つかったのは、ファイル圧縮・解凍ソフトの「Lhaplus」、ファイル解凍ソフトの「XacRett」、テキストエディターの
「K2Editor」。各ソフトには実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んで
しまう脆弱性が存在する。第三者が任意のコードを実行できてしまうという。
影響を受けるソフトのバージョンは、Lhaplus Version 1.57以前、XacRett version #49以前、K2Editor r.1.5.8以前となる。
各ソフトとも開発者から脆弱性を解決したアップデート版が公開されており、IPAとJPCERT/CCはユーザーに早期の
適用を促している。
http://www.itmedia.co.jp/enterprise/articles/1010/15/news064.html
|
|
|
2 :名無しさん@お腹いっぱい。:2010/10/15(金) 21:34:44 ID:???
すべてWindowsかよw
3 :名無しさん@お腹いっぱい。:2010/10/15(金) 23:47:25 ID:???
米Apple社が「最も脆弱性報告の多い企業」に
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。
4 :名無しさん@お腹いっぱい。:2010/10/16(土) 00:46:30 ID:???
7 :名無しさん@お腹いっぱい。 :2010/10/14(木) 09:57:21 ID:???
>>5
>今回の結果は、Apple社のソフトウェアが実際に安全性が最も低いということを意味しているわけではない。
>この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
8 :名無しさん@お腹いっぱい。 :2010/10/14(木) 10:00:36 ID:???
それに対してWindowsは
> 16件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」レベルとなっているのは、IE用の累積的な
>更新プログラム(MS10-071)とWindows Media Playerネットワーク共有サービスの脆弱性(MS10-075)、
>Embedded OpenTypeフォントエンジンの脆弱性(MS10-076)、.NET Frameworkの脆弱性(MS10-077)に
>対処した4件となる。いずれも悪用可能性指標は最大値の「1」にランクされ、安定した悪用コードが出現する
>可能性も高い。
MacよりWindowsのほうが危険だということが証明されました。
哀れなMS信者。もうそのコピペは張るなよw
恥ずかしいだけだからwwwww
>>5
>今回の結果は、Apple社のソフトウェアが実際に安全性が最も低いということを意味しているわけではない。
>この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
8 :名無しさん@お腹いっぱい。 :2010/10/14(木) 10:00:36 ID:???
それに対してWindowsは
> 16件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」レベルとなっているのは、IE用の累積的な
>更新プログラム(MS10-071)とWindows Media Playerネットワーク共有サービスの脆弱性(MS10-075)、
>Embedded OpenTypeフォントエンジンの脆弱性(MS10-076)、.NET Frameworkの脆弱性(MS10-077)に
>対処した4件となる。いずれも悪用可能性指標は最大値の「1」にランクされ、安定した悪用コードが出現する
>可能性も高い。
MacよりWindowsのほうが危険だということが証明されました。
哀れなMS信者。もうそのコピペは張るなよw
恥ずかしいだけだからwwwww
5 :名無しさん@お腹いっぱい。:2010/10/16(土) 01:06:15 ID:???
>>1
ラプラスの脆弱性気になったから色々詳しく試してみたら
ある条件、めったにない条件だったけど条件さえ合えば簡単に再現できたから
これは早くアップデートした方がいい。
再現ヒントはラプラス構成ファイルと同じ名前のファイル作成して(a)ある条件のパス階層に配置すればaを読み込むから(これが脆弱性)
さらにその読み込みから任意の構成ファイル(b)を1つ読み込む様にソース書いて
さらにbにwin32apiに基づいた任意のプログラムを実行させるソースを書けば
そのプログラムを実行出来るようになるよ
非常に危険だからアップデート推奨。
ラプラスの脆弱性気になったから色々詳しく試してみたら
ある条件、めったにない条件だったけど条件さえ合えば簡単に再現できたから
これは早くアップデートした方がいい。
再現ヒントはラプラス構成ファイルと同じ名前のファイル作成して(a)ある条件のパス階層に配置すればaを読み込むから(これが脆弱性)
さらにその読み込みから任意の構成ファイル(b)を1つ読み込む様にソース書いて
さらにbにwin32apiに基づいた任意のプログラムを実行させるソースを書けば
そのプログラムを実行出来るようになるよ
非常に危険だからアップデート推奨。
6 :名無しさん@お腹いっぱい。:2010/10/16(土) 01:50:20 ID:???
この機会にラプラスなんか投げ捨てて
7-Zipを使うとよい。7z 形式の話じゃない。
圧縮・展開ソフトの話。
7-Zipを使うとよい。7z 形式の話じゃない。
圧縮・展開ソフトの話。
7 :名無しさん@お腹いっぱい。:2010/10/16(土) 03:44:20 ID:???
つまりこれからはラプラスを捨ててラブプラスに乗り換えるんですね
8 :名無しさん@お腹いっぱい。:2010/10/16(土) 06:05:59 ID:KGjthxSO
なんとなくだけどこれと似た話か?
【セキュリティ】DLLファイルのロード方法に脆弱性、MSがセキュリティアドバイザリを公開(10/08/24)
http://hibari.2ch.net/test/read.cgi/pcnews/1282646428/
【セキュリティ】DLLファイルのロード方法に脆弱性、MSがセキュリティアドバイザリを公開(10/08/24)
http://hibari.2ch.net/test/read.cgi/pcnews/1282646428/
9 :名無しさん@お腹いっぱい。:2010/10/16(土) 08:18:21 ID:???
>>8
違う
違う
10 :名無しさん@お腹いっぱい。:2010/10/16(土) 08:35:18 ID:???
>>7
俺が書こうと思ってたのにーーー
俺が書こうと思ってたのにーーー
11 :名無しさん@お腹いっぱい。:2010/10/16(土) 08:49:16 ID:???
>>9
違う
違う
12 :名無しさん@お腹いっぱい。:2010/10/16(土) 08:57:22 ID:???
>>11
そうじゃ
そうじゃ
13 :名無しさん@お腹いっぱい。:2010/10/16(土) 11:20:29 ID:???
Lhaplus、捨てました。
14 :名無しさん@お腹いっぱい。:2010/10/17(日) 07:21:15 ID:???
ラブプラス、捨てました。
ブラジャー、捨てました。