時事NEWS

2017年06月23日

Win10のコード流出→国内ニュース「Win2kの時程大したことない」→海外のニュース「Win2kの流出と比べ物にならない」

【UPDATE】32TBにも及ぶ「Windows 10」のソースコードなどがウェブに流出 | 気になる、記になる…
Microsoftの広報によると、流出したファイルはShared Source Initiativeのソースコードの一部で、OEMおよびパートナーによって使用されているそうで、The Vergeもソースコード自体は既にパートナーや企業、政府などの顧客が利用可能なものである事から、今回の流出は2004年の「Windows 2000」の時ほど大きな問題ではないと認識しているようです。

また、Beta ArchiveのAndrew Whyman氏は、問題のファイルをMicrosoftからの要請ではなく自分たちの判断で削除した事を明らかにした他、「Shared Source Kit」のファイルサイズは実際には1.2GB(100MB×12)で、32TBという数字については、3月24日にリリースされ、Insider ProgramやConnectのメンバーから提供された「Windows 10」の各種ベータビルドが含まれている模様。

Heaps of Windows 10 internal builds, private source code leak online • The Register Forums
続報がこちら

流出したのは、8TBの圧縮された、ソースコード、OSイメージを含む未公開のデータで 合計32TBあったとのこと

これらの機密データは、3月ごろマイクロソフト本社から不正に持ち出されたものとされていて、

流出した MicrosoftのShared Source Kit については、内容を見た人によると、
・Windows 10の基本ハードウェアドライバ
・RedmondのPnPコード
・USBとWi-Fiスタック
・ストレージドライバ
・ARM 固有の OneCoreカーネルコード
本来、最上位の信頼できるパートナー顧客(マイクロソフト関連会社やハードウェアメーカー)しか、手に入れる事が出来ないもので、このコードを入手すれば、脆弱性を解析して悪用できるとのこと。

さらに、公開されていない正式にリリースされた、Windows 10およびWindows Server 2016の裏バージョンと言える極秘ビルドが、漏洩していて、この極秘ビルドは、マイクロソフトのエンジニアがバグ発見やテストの目的で作成したものなので、通常は除外されるプライベートなデバッグ用シンボルが含まれているそうだ。


流出したイメージにはさらに、未公開のWindowsの64ビットARM版が含まれるのだけど、MSが承認していないPCにこのOSが起動できないようにするためのSecure Boot メカニズムのためにたくさんのバージョンがビルドされたらしいということで、この流出したビルドを使えば、ファームウェアによるセキュリティブロックを無視してインストールできるのではないかとのことです。

それに関連してさまざまなポータブルデバイスやモバイルデバイスでWindows 10を動かすための 機密ソフトウェアツールセットであったMicrosoftのWindows 10 Mobile Adaptation Kitの複数バージョンが流出したファイルに含まれているそうです。

ベータ・アーカイブのプライベート・リポジトリへのアクセス権を持つネットユーザーは、依然として、漏洩したデータを無料ですべて入手することができます
そして、これは2004年に流出した Windows 2000の秘密のソースコード よりも大規模な流出だとしています。


|・ω・) 。o (英語サイトの 記事の流出の内容見ても Windows 2000の時ほどではない 様には見えないんですがこんな時までディスるなんて、やっぱり Windows 2000ユーザに喧嘩を売ってるのか!)



blackwingcat at 18:30|PermalinkComments(0) | TrackBack(0)

2017年06月14日

ITMedia「AdobeがShockwaveのサポートを終了すると書いたな?だがあれは嘘だ」

さらばDirector Adobe、Directorの販売およびShockwaveサポートを終了 - ITmedia NEWS
米Adobe Systemsは、Adobe DirectorとAdobe Contributeの販売を2017年2月1日で終了し、Directorで制作するコンテンツ形式であるAdobe Shockwaveのサポートを、2017年3月14日で終了すると発表した。

えっ、Shockwave Player のサポート終了していた?
それではここで、原文を見てみよう

The Future of Adobe Contribute, Director and Shockwave | Creative Cloud blog by Adobe
お客様にCreative Cloudが提供する新しい機能と効率を鑑みて、2012年に最後にリリースされたAdobe DirectorとContributeの販売とサポートは終了します。
Adobe DirectorとContributeの販売は2017年2月1日に終了します。
最新の製品をリリースした後の3月14 日 にMac OSX 向けのAdobe Shockwaveのアップデートとサポートを終了します。 

Adobe「Mac は終了すると言ったが、Windows は終了するとはいっていない」

でもちょっとおかしいような・・・。

2016/9/29 12.2.5.195 リリース (Mac版最終)
2017/1/30 サポートを3/14で終了するのを発表
2017/2/21 12.2.7.197 リリース (あれ、Mac版どうした?)
2017/3/14 12.2.8.198 リリース (あれ、Mac版…)
2017/6/13 12.2.9.199 リリース
Adobe Shockwave Player 12.2.9.199 - 脳脂肪のパクリメモ

うん ・・・ たぶん、Windows版だけのセキュリティホールだったのだ ・ω・



一番気になるのは、3月14日リリースだった12.2.8.198のデジタル署名が 2/27
12.2.9.199のデジタル署名が 3/31だったのにリリースが 6/13だったこと
このアップデート、深刻なセキュリティの脆弱性としてるのに3ヶ月近くリリースせずに放置してたんだよね?

ちなみに、Flash Player Add-ONは 19.0.0.226 のまま変わらず

セキュリティホール、平気で何ヶ月〜何年も放置してるのに、思い出したかのように、メンテナンスして。
まるで、安全であるかのようにリリースするのはやめたほうがいいと思う ・ω・


blackwingcat at 08:30|PermalinkComments(0) | TrackBack(0)

2017年06月10日

Simeji IME / Baidu IMEのインストーラーに脆弱性→調べたら直っていなかった件

「Simeji」のWindows向けベータ版インストーラーに脆弱性 〜入手しても実行しないように - 窓の杜
脆弱性対策情報ポータルサイト“JVN”は8日、ベータ版として提供されていた日本語入力システム「Simeji」Windows版のインストーラーに意 図しないDLLを読み込んでしまう脆弱性が存在することを明らかにした。当該製品はすでに公開を終了しており、修正の予定はない。

JVN#31236539: [Simeji Windows版(β)]文字入力システムのインストーラにおける DLL 読み込みに関する脆弱性


「Baidu IME」のインストーラーに脆弱性 ほか - ダイジェストニュース - 窓の杜
「Baidu IME」のインストーラーに脆弱性
詳細は不明だが対応中とのこと。作者サイトからは一時的にダウンロードできなくなっている

Windows β版の Simeji IME に脆弱性が見つかった。
しかし、既に公開停止しているため、更新は行わないそうです。

しかし、 Baidu IME にも同じ脆弱性があるのでは?

… と思ったら、 ニュースになった翌日に修正版の Baidu IME インストーラーが出ていた。
しかし…。


707k の BaiduType_Setup_Light.exe は 2012年のままなので修正されていないし、
53,554K の フルインストーラー(BaiduIME_Setup.exe) 電子署名 2015年12月16日から2017年6月5日 になってるけど直ってないの ・ω・
guhehe3


とか、散々、Baidu や Baidu IME の公式 Twitter アカウントに向けて発信したら週明けの公式サイト
guheehe4
|。・ω・) 。o (やっと本気を出してくれるようです )


blackwingcat at 12:30|PermalinkComments(1) | TrackBack(0)

2017年06月09日

WindowsのインストーラーのDLL読み込みの脆弱性が直ってない件 その2

WindowsのインストーラーのDLL読み込みの脆弱性、直したが嘘のケースもある?
なおしたつもりが直ってない、ではなく、別パターンのケースも見つけたので紹介します。

JVN#65154137 電子納品チェックシステム(農林水産省農業農村整備事業版)のインストーラにおける DLL 読み込みの脆弱性
電子納品チェックシステム(農林水産省農業農村整備事業版)

fols
まず、こちらが、インストーラーの構成になります。一見問題なさそうに見えますが
vcredist_x86_2008.exe
vcredist_x86_2010.exe
がsetup.exe と同じフォルダにあるのがポイントです。

実は、インストールの最後に、追加コンポーネントとして子プロセスとして起動されるのですが、
この古いインストーラーに脆弱性が残っています。

fols2
この通り、古いインストーラー起動時に管理者権限で乗っ取ることができてしまいました

VC++2005と VC++2012のフォルダはちゃんと分けてあるのに、なんで2008と2010は放置したんですかね?


blackwingcat at 08:30|PermalinkComments(1) | TrackBack(0)

2017年06月06日

フジテレビが騙された、ガリガリ君 火星ヤシ味 の出所を調べたところ…

フジテレビがまた謝罪、「ガリガリ君」の実在していない味を紹介「ノンストップ!」 (スポーツ報知) - Yahoo!ニュース
実在しない「ガリガリ君」を放送したのは、6日の同番組での「コレ知らないNO!」のコーナーで「ガリガリ君」の食感の秘密を追跡した場面だった。番組では今年で発売36年目を迎えた人気アイスで季節限定味が発売され品切れが続出していることを紹介。限定味を紹介する際の商品パッケージの画像で「スイカ」「九州みかん」に続き「火星ヤシ」が放送された。

 「火星ヤシ」は実在していない商品で、これを受けて7日の同番組内のニュースコーナーの最後に同局の渡辺和洋アナウンサー(41)が「ここでお詫びと訂正があります」と切り出し、「昨日の企画コーナー『コレ知らないNO!』のガリガリ君を特集したVTRの中で『ガリガリ君 火星ヤシ味』というアイスの画像を紹介しましたが、これは実在しないアイスの画像でした。こちらの確認不足でした。お詫びして訂正致します」と謝罪した。

と言うわけで、一次ソース探してみようと、インターネットの旅に出たところ・・・。
gari

一発でネタ画像だとわかるリンクが出てきました

【機動戦士ガンダム鉄血のオルフェンズ】「ガリガリ君火星ヤシ味」イラスト/那乃倶ている [pixiv]

gari2

2016年の閏日のネタのようです(クリックすると作った人のサイトに飛びます)

で、なんでこのネタに至ったのか調べてみると・・・。

アニメイトにて『機動戦士ガンダム 鉄血のオルフェンズ』フェア開催! | PASH! PLUS
同イラストの発表日と同日

火星ヤシ風チョコ価格:800円+税
発売日:3月17日(木)頃発売予定
発売元:ムービック

gari2

ムービック機動戦士ガンダム 鉄血のオルフェンズ 火星ヤシ風チョコ: キャラグッズmovic
火星ヤシ風チョコ は商品化されてました!
元ネタはこれか! ・ω・

那乃倶ている様! 即日、画像作ったって仕事早いっすねw

でも、一次ソースの画像引用したにしても、普通は気づきますよね?
フジテレビは、引用元確認せずに、無断転用したからこうなったのでは?



blackwingcat at 08:30|PermalinkComments(1) | TrackBack(0)

2017年06月04日

後発ニュースのはずの株式会社タンクフルのSecurity NEXTがやっつけすぎる件

複数の住民基本台帳用 IC カードリーダライタに任意コード実行の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
「RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0(RW5100V1.0.1.0_win8.exe)」など(別表参照)には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう複数の脆弱性(CVE-2017-2189、CVE-2017-2190、CVE-2017-2191、CVE-2017-2192)が存在する。これらの脆弱性により、インストーラや動作確認ツールを実行している権限で任意のコードを実行される可能性がある
こちらが、第一報のニュース

シャープ製の住民基本台帳用ICカードリーダーの関連ソフトに脆弱性 - 修正版の利用を

シャープ製の「住民基本台帳用ICカードリーダライタ」で使用する関連ソフトに脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、「RW-4040」「RW-5100」において、「Windows 7」や「同8.1」へドライバを導入するためのインストーラや、動作確認ツールにおいて、意図しないライブラリファイルを読み込むなど、4件の脆弱性が含 まれていることが判明したもの。

これら脆弱性は、NTTコミュニケーションズの東内裕二氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。最新のインストーラでは、脆弱性が修正されているという。

またインストール済みのドライバに関しては、今回明らかになった脆弱性の影響は受けないとしている。今回明らかとなった脆弱性は以下のとおり。

CVE-2017-2189
CVE-2017-2190
CVE-2017-2191
CVE-2017-2192

これができた記事 ・ω・ いろいろ違う

シャープ製の「住民基本台帳用ICカードリーダライタ」で使用する関連ソフトに脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、「RW-4040」「RW-5100」において、「Windows 7」や「同8.1」へドライバを導入するためのインストーラや、動作確認ツールにおいて、意図しないライブラリファイルを読み込む脆弱性が含 まれていることが判明し、6つのアプリがそれぞれ4件の脆弱性として振り分けられた。


この脆弱性は、NTTコミュニケーションズの東内裕二氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。最新のインストーラでは、脆弱性が修正されているという。


またインストール時の脆弱性であるため済みのドライバに関しては、脆弱性の影響は受けない。今回明らかとなった脆弱性は以下のとおり。

CVE-2017-2189
CVE-2017-2190
CVE-2017-2191
CVE-2017-2192


4種類の脆弱性がある訳ではなく、CVEはアプリ毎に割り当てられてるのが分かってないという

なんで4つかと言うと、RW-4040 用インストーラー、RW-4040 用チェックツール、RW-5100 用インストーラー、RW-5100 用チェックツール の4本だからなんだよ ・ω・

WindowsのインストーラーのDLL読み込みの脆弱性、直したが嘘のケースもある?
そもそも、この脆弱性新しいインストーラーでも直ってないんだけどね・ω・



blackwingcat at 12:30|PermalinkComments(0) | TrackBack(0)
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation