Microsoft Windows の MP3 オーディオコーデックにおけるバッファオーバーフローの脆弱性
1.概要
Microsoft Windows の MP3 オーディオコーデックにバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
ユーザが悪質な AVI ファイルを閲覧した場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
この脆弱性は、Microsoft が 2010/4/13 にセキュリティ情報 MS10-026 として報告した少し古い問題となりますが、
2011/8/13 に脆弱性を悪用する攻撃ツールが Metasploit で公開されました。
脆弱性を悪用された場合の影響度が高いため、対象のユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
9.3
3.影響を受けるソフトウェア
Microsoft Windows 2000 SP4 ※1
Microsoft Windows XP SP2/SP3
Microsoft Windows XP Professional x64 Edition SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 x64 Edition SP2
Microsoft Windows Vista SP2 以前
Microsoft Windows Vista x64 Edition SP2 以前
Microsoft Windows Server 2008 for 32-bit Systems SP2 以前 ※2
Microsoft Windows Server 2008 for x64-based Systems SP2 以前 ※2
※1 2010/7/14 付けで Windows 2000 は、サポート終了となっています。
※2 Server Core インストールは、この脆弱性の影響を受けません。
4.解説
Microsoft Windows の DirectShow 用の MPEG Layer-3 (MP3) オーディオコーデック (l3codecx.ax) には、AVI ファイル内の
MP3 オーディオストリームのデコード処理に不備が存在します。
http://scan.netsecurity.ne.jp/archives/52007655.html
どこをどうまとめたらそういうテキストになるんだ?。
とりあえず、Windows7は関係ないのか。そうなんだな。
Appleって、iPhoneが爆発するような事態になっても口止めを迫る企業だもんな
ハードウェア的な被害が出ないマルウェア感染となれば…
コーデック程度のプログラムがバッファオーバーフローしても不正アクセスするのは、まず無理っぽくね?
コーデックで何をやるんだよ? スピーカーから音を鳴らすか?
音程をずらす? 好きな音を鳴らしたくても、鳴らす音を受信させないといかんわな
受信させるためには、それ相応のコーデックを利用するアプリをバッファオーバーフローさせないといけない。
全く持って意味がないニュースだと思うんだが、何か意見があったら教えて欲しい。
>>6 コーデックを走らせてるのはDirectXだと思う
>>7 けどコーデックでできる事はタカが知れてる。
コーデックがDirectXを操作できるとでも?
コーデックがDirectX(ゲーム)に悪さしようとしても所詮ゲームだし、何もできない。
SP2以前とはSP2を含むのか?
肝心の対策を見ようとしたら有料とな
XPなら、カーネルと同じじゃないか。
相変わらず穴だらけのWindows(核爆)
>>14 そのコピペ、反論になってない事をそろそろ認めるべきだと思うよ。
Macは脆弱性が多かった
↓
しかし被害は無いに等しかった
↓
しかもWindowsは大量のウイルスに感染していた
立派は反論だろバカドザにはそれがわからないんだよなwwwww
>>16 Macは脆弱性が世界一多かった
↓
しかし被害は無いに等しかった
↓
しかし被害は無いに等しかったというのは嘘だった
急増するMacマルウェアへの注意喚起
http://ascii.jp/elem/000/000/618/618060/ >> ZDNetの推計では今月、60,000〜125,000人のMacユーザーが
>> アップルのサポートに対してこのようなマルウェアについて問い
>> 合わせているとのことです。恐らく電話したのは感染者のごく
>> 一部であり、感染者数はこの数字よりも遥かに大きいことでしょう。
↓
事実がバレたので反論にならない。
ドザの妄想wwww
Macは安全なんて幻想に過ぎなかったわけだ。
>>17 それMcAfeeの宣伝じゃんwwwwwwww
宣伝に踊らされてそれ以上のウイルス被害にさらされているバカドザ乙wwwwwwwwww
宣伝のために嘘を書いた場合、
今頃McAfeeはAppleに訴えられているはずだ。
ところがそんな事にはなっていない。
つまり、内容は事実。感染隠蔽は諦めろ。
Mac向けを広めるのはシェアが少なくOSの更新が早いので成功しないが、
狙いを定めた時にはMacOSXの方が弱い。
23 :
名無しさん@お腹いっぱい。:2011/09/03(土) 10:11:20.18 ID:9HLIvefX
l3codecx.ax
で、対応バージョンは?
25 :
名無しさん@お腹いっぱい。:2011/09/03(土) 12:28:39.85 ID:xhpnTFfM
内容にかかわらず、対策情報は全部有料って事なんだろうね。
単にこのラックって会社が見つけ出せなかっただけだろw
>>26 25のリンク先のどこを縦読みすると、そうなるんだ?
放置だな
またか
>>24 システムの復元で余裕で回復でした。
ウイルス対策ソフト使ってません。
この手のスパイウェア系の感染は大抵これで直ります。
ウイルス? スパイウェアですよこれ。
その頃AppleはMacDefenderの急激な感染拡大に右往左往していた
ほら、Windows信者が必死に工作活動してるw
それも24時間営業w
>>33 キミも手を変え品を変え、大変だねぇ。
がんばってね!
ほら、反論できずw
Windows信者が必死に工作活動してるw
それも24時間営業w
未修正なんだが?
未修正のソースは?
対策:
Windows上で、特定の音楽プレイヤーの利用によって問題は発生します。
・Quick Time 7 Player ※3
上記以外の音楽再生プレイヤーでの影響は発見されていません。
※3 Server Core インストールは、この脆弱性の影響を受けません。
わざわざ
> 5.対策
> (Web非公開)
> ※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
なんて書かれてる所をわざわざ引っ張ってくるなんてご苦労様ですね
対策が公開されてるページを見せたら、修正されてることが誰の目にも明らかになっちゃうからなw
>>45 捏造はすぐにバレるぞw
信者きしょいぞw
マイクロソフトは仕事しないんだよw
ほら
未修正じゃんかw
ちゃんと読めよw
>>49 個別の対応はそのページのダウンロードアイコンから修正できる。
ビスタ以降のOSは、サービスパックで対応済み。
脆弱性の放置といえばAppleだろ
>>51 だからさ、何万回書き込んでも嘘は嘘のままだと一言っとろうが。
お前さ、3年近く工作続けてるだろ。
でも、一人も騙せてないよ。たった一人も。
セキュリティの話題でアップル製品を持ち出すなんて普通じゃないよな
まともな専門家ならまずしないレベル
例えるなら自転車を車検に出すようなものだよ
どんな結果が出ようと、変わりなく公道を走り続けられるってことは馬鹿でも分かるだろ?
穴だらけのWindowsを喜んでつかっているMS信者そのものが脆弱wwwww
工作員ソース古いよ、何やってんの!
ドザの珍コピペ
くやしぃのう。
ドザの珍工作
珍→真の間違いじゃね?
知らないは罪って言うでしょ
>>1 Fix済み
>>58 今年で、アップルからは情報公開なし?
ユーザーなめすぎじゃね
情弱のためにあげていこうぜ
自己紹介乙
早く修正しろよw
直す気がないのだ
MP3オーディオコーデックが操作可能になったとして
そのコーデックを外部から利用するために進入する手段を探さなければいけない。
たしかにローカルでコーデックだけつるし上げて「ほら操作できた脆弱性だ」と言うのは簡単。
トロイや何かを仕込めたとしてもFWやDefender、Essencial等が搭載されてるので、現実的には不可能なので修正する意味がない。
うわぁーーーーーw
OSが欠陥だらけw
Microsoft、『Office XP』のバグを「訂正不可能」として修正せず
http://japan.internet.com/webtech/20100611/12.html Microsoft が8日に実施した6月分の月例更新は、これまでの月例更新の中でも最大規模のものとなった。
その際、大量の更新情報に埋もれるように、『Microsoft Office XP』に発生しているあるバグについては、
修正を行わない旨の通知があった。修正には多数の再構築が必要となり、現実的に実行が不可能なためだ。
Microsoft のサポート ライフサイクルに関する文書によると、2001年に初出荷された Office XP は、現在も
公式な「延長サポート」の対象であり、サポート期限は2011年7月12日までとなっている。
>>69 新しいiPadに不具合。Wi-Fi接続が不安定、速度が遅い、Wi-Fiネットワークが見えない
Appleが新しい「iPad」が抱えるWi-Fi 接続の問題を調査中であるという。
「接続が不安定・・・ Wi-Fi速度が遅い・・・(また)Wi-Fiネットワークが見えない」
「対象製品:iPad(第3世代)」と 書かれている。
問題が話題になったのは今回が初めてではないが、これを認めるAppleの文書が公になった
のはこれが初めてのようである。
Wi-Fi接続については、Apple Support Communitiesで話題になっている。
Appleにコメントを求めたが回答は得られなかった。
http://headlines.yahoo.co.jp/hl?a=20120406-35015927-cnetj-sci
マイクロソフトは糞だな
ゴミ
>>73 >「Apple App Storeでマルウェアが発見されたのは今回が初めて」とKaspersky Labは伝えている。
初のマルウェアだってw
Windowsなら数百万あるのにねwwwww
Appleみたいに公式からばら撒かれたりはしてないじゃんw
windows用は国家がバラまいてるからな。
w
ドザOS終わってるね
誰も使いたくない
マイクロソフトはMP3のコードですら上手く動かないのか
マルエツドザが発狂中w
アスペ脳が発狂中w
MP3の処理もまともにコーディングできないマイクロソフトは倒産で結構
>>1 【失敗】糞地図パケ詰まりiPhone5、売上が予測を大幅に下回りオワコンへ【恥】
米アップルのスマートフォン(多機能携帯電話)「iPhone(アイフォーン)5」の需要が
予想を下回っているとして、同社が部品の発注を当初計画よりも削減したと報じた。
アイフォーン5は2012年9月、満を持して市場に投入されたが、売れ行きは期待外れのようだ。
それによれば、シャープなどが供給しているアイフォーン5用の液晶画面は、
アップルの発注量が当初計画のほぼ半分にとどまった。
これ以外の部品の発注も計画以下で、アップルは12月、発注削減を供給会社に通知したという。
(2013/01/15-06:59)
iPhone販売、期待外れ?=アップルが部品発注削減−米紙
http://www.jiji.com/jc/c?g=int_30&k=2013011500070
>>1 【パクリ】AppleがSONYやNECカシオを真似てiOSスマートウォッチを開発【恥】
アップル、曲面ガラス採用の iOSスマートウォッチをテスト中?
http://japanese.engadget.com/2013/02/10/ios/ アップルは腕時計型のデバイスを現在テスト中である、
プラットフォームは iOS になるであろう、といった内容です。
なんらかの試作機が存在してテストする段階には至っているものの、
実際に製品になるかどうかは決まっていないこと。
「スマートウォッチ」を自称する製品は、スマートフォンや Bluetooth Low Energy の
普及もあってここ最近やたらと増えつつあります。
たとえばソニエリ時代から延々と Bluetooth 腕時計を手がけてきた
ソニーからは製品名そのままな SmartWatch
さすがのアップルも腕時計なら生活防水くらいにはしてくれることを期待して待ちたいものです
>>89 【詐欺】Apple、iOS6.1.3はパス無しでロック突破可能な問題を修正したと嘘を付く
http://itpro.nikkeibp.co.jp/article/NEWS/20130321/464669/?k1 米Appleが現地時間2013年3月19日にリリースしたiPhone向け最新版OS「iOS 6.1.3」
(関連記事)のパスコードロック迂回方法を解説する動画が、翌3月20日からYouTubeに
掲載されている(画面)。この方法を使うと、パスコードを知らない第三者がiPhoneに
保管された連絡先や写真データなどにアクセスできてしまう。
Appleは最新版iOSで「パスコードを迂回して電話にアクセスされる問題を修正した」と
説明しているが、早くも新たな問題が見つかった形だ。
Microsoft、Amazonを始め、世界中の有力エレクトロニクス・ブランドが
Foxconnの顧客であり、Foxconnに製品の製造、組み立て、仕上げを委託している。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
http://jp.techcrunch.com/archives/20120126dirty-money/ 以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
恥】Microsoft、世界一 『脆弱性報告の多い企業』 に
http://www.computerworld.jp/topics/563/206555 過去25年間に発見されたソフトウェア脆弱性を集計した結果、深刻な脆弱性の件数が最多だったのは
Windows XPと 「Firefox」ブラウザだった――。
米国のセキュリティ・ベンダー、Sourcefireの研究者が「RSA Conference 2013」でこのような調査結果を発表した。
リポートでは、多数の脆弱性を生み出す企業/組織の“ワースト10”を次のようにまとめている。
「Microsoft、Apple、Oracle、IBM、Sun Microsystems(現在はOracle傘下)、Cisco Systems、Mozilla、Linux、
Hewlett-Packard(HP)、Adobe Systems」。
「Linuxカーネル」の脆弱性登録件数は937件だが、SourcefireがすべてのバージョンのWindows(モバイル向け
を除く)を合計したところ、登録された脆弱性は1,114件に上った。
■ソニー仙台の退職強要問題
http://awabi.2ch.net/test/read.cgi/sony/1362292332/ 日本共産党の田村智子参院議員は1日、ソニー仙台テクノロジーセンターが実施する「希望退職募集」
問題(2月末まで)で、厚生労働相の答弁にそってただちに会社に調査に入り、退職強要や仕事を取り上
げる「リストラ部屋」をやめさせるよう、厚労省に指導を求めました。
この問題では、ソニー労組(電機連合加盟)が「複数の労働者に7〜10回の面談など、違法な退職強要
が繰り返されている」として、宮城労働局に会社への調査と是正を求めています。
13万人を超える電機リストラにかかわって昨年、田村議員の質問に小宮山洋子厚労大臣(当時)が「一
つの企業の複数の労働者から相談があれば、厚労省から企業に出向いて事実関係を確認し、必要な指
導をする必要がある」と答弁しています。
厚労省は1月、電機を含む大手製造業への「退職強要に関する調査」報告を公表。しかしその後も「退
職強要をやめさせてほしい」との訴えは続き、ソニー労組にも相談が相次いでいます。
労働基準局の担当者は「複数相談があった時には調査し、事実確認と必要な指導をすることは大臣答
弁の通りで変わっていない。その趣旨を徹底している」と回答しました。
田村議員は「労働行政として違法が疑われたら、是正する態度が必要だ」と迫りました。
あげ
Unixの「sudo」コマンドの脆弱性がOS Xでは修正されないままになっている。Metasploitはこの脆弱性を突くコードを追加したことを明らかにした。
www.itmedia.co.jp/enterprise/articles/1309/02/news024.html
>>104 【またアップルタイマー】 MacBook Airのストレージに不具合
Apple、先代「MacBook Air」のSSD交換プログラムを開始
http://www.itmedia.co.jp/news/articles/1310/19/news009.html 米Appleは10月17日(現地時間)、現行より1世代前の
「MacBook Air」のSSDの一部が故障することが判明したとし、無償交換プログラムを開始した。
対象となるのは、2012年6月〜2013年6月に販売された、
64Gバイトおよび128GバイトのSSDを搭載する端末。
Appleは、対象端末でのOSアップデートや新規アプリインストールをしないよう勧めている。
ユーザーは、AppleまたはApple正規サービスプロバイダ(AASP)で、
対象となるSSDの無料交換を受けられる。
このプログラムは、対象端末の最初の小売り販売日(2012年6月12日)から3年間有効。
106 :
名無しさん@お腹いっぱい。:2013/10/24(木) 21:20:12.58 ID:171E1XqN
誰も使ってないから大丈夫だよ
107 :
名無しさん@お腹いっぱい。:2013/10/25(金) 07:34:15.88 ID:mz4bmA4B
これってどういうこと?
音楽を再生するとウィルスに感染しますとか、PC乗っ取られますってこと?