TOP > IT・テクノロジー > XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 - PC Watch

XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 - PC Watch

181コメント 登録日時:2019-08-14 19:19 | PC Watchキャッシュ

 米GoogleのセキュリティチームProject Zeroは13日(現地時間)、20年間発見されていなかったWindowsの脆弱性について報告した。Windows XP以降のすべてのバージョンに存在する。...

Twitterのコメント(181)

こわーい、、、(あせ

95系も、ヤバいバグがあったけど、最後まで改修されなかったのが、確かあったよね、、、、
第20年的告白:谷歌发出警告"新的Windows漏洞被公开" Windows 现可疑漏洞
从WinXP到Win10
全体陷落
こりゃ修正できるのか?????
常々、Windowsを止めたいと思っているが、なかなか実行に移せないでいる。今年の目標かなぁ。/
「90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため対策が準備できないまま公表」 「Windows XP以降のすべてのバージョン、20年存在していたWindowsの脆弱性をGoogleが発見 -
むむ「権限の昇格やUAC制御もできる」とはちと深刻ではないかい?
「この脆弱性についてMSへ事前通知したが解決に至らなかったため対策が準備できないまま公表された」とかさらっと恐ろしいこと書いてあるし(;^_^A。
おー!読んでみる(´・ω・`)
マジか⁈まだ解決されてないんだ⁈
Windowsの脆弱性、結構危険度高そうだけど対策なしのまま情報公開になったそうなのだ。危険があぶないのだ。
ctfmon.exe...が実際にアプリケーションとカーネルとをつなぐのだが、認証やアクセス制限の機能が実装されておらず...90日間の猶予をもってMicrosoftへ情報提供...解決に至らなかったため、対策が準備できないまま公表」

XP以降、20年存在していたWindowsの脆弱性
> 解決に至らなかったため、対策が準備できないまま公表
なんで?
解決法が確立されるまで黙ってないといらんこと考える奴が出てきたりしないの?
////
// MSが悪いのは変わらないのだけれど、今のWindowsのシステムで、このバグを解消して検証しようとすると90日では短いような気がする。Googleさんももうちょっと考えろや。
むしろこの問題のほうが遥かにクリティカルだからね。しつこく復活するウィルスの一部はこの脆弱性利用してるだろうし
通告後90日経てば公表するって、何故•́ω•̀)?
脆弱性かも知れないけれど、今更直しようが無いのかと。「サービスが実際にアプリケーションとカーネルとをつなぐのだが、認証やアクセス制限の機能が実装されておらず、攻撃が行なえる」 /
Microsoft、はよ直せ!
Microsoftは何て言ってるんだろう。
最後の一文が酷いのだが
この機能いじったことあるぞ俺w
‘今回報告された脆弱性は、「Text Service Framework(TSF)」内にある「MSCTF」というモジュールに関するもの。’ IMEは特権的な動作が求められるのでこの手の問題は起こりえそう。
ctfmonとか,よく暴走してCPUを食いつぶしてる印象だったが,そんな脆弱性まで・・・.てか,まだ解決してないのかい./
「XP以降、20年存在していたWindowsの脆弱性をGoogleが発見」

今回報告された脆弱性は、「Text Framework(TSF)」内にある「MSCTF」というモジュールに関するもの。
ctfmonちゃん、、 >>>
>90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。
Discover(Google)から

ヒィー(>ω<ノ)ノ
それ以前にDOSコマンドにwhoamiがあったことに驚いたわ
誰か、これがどれくらいヤバイことなのか解説求む…何言ってんのか全然わからん
まぁ、人間が作った物なんだから突けば色々出てくるのは仕方ないよね
後はどう対処するかだけど、今きてるパッチがそうなのかな?
また20年か・・・(´ヘ`;)

しかも何とも厄介なレベルで大穴開いてたものだ。

しかし この層で抜け道アリとなると、
パッチで対応出来るモノなのかねぇ?(^_^;)



@pc_watch
何度となく繰り返して報告されている既存システムの脆弱性。詐欺師や似非技術者や役人や政治家の言う安全なんてそんなもの。むしろ、脆弱性は必ずある。それは、エラーが必ずあるのと同様に。
未解決のまま公開!
こいつはヤベェ
無知だからわからんのだけど20年発見されてなかったらもはや脆弱性でないのでは
NSAあたりが怒ってそう。知らんけど »
マジ良くこんなん見つけられるよなあ
やばいやつ? /
お大きな穴。
見つけてしまいましたかー
ゼロデイ攻撃の可能性がある脆弱性じゃん放置しちゃまずいんじゃないのMicrosoft
この脆弱性、もしかして影響とても大きいのでは?MSさん勘弁してください。
Windows使ってないし関係ないな
TSFなつかしい
直せよ(記事内参照)
(今も直ってません)
まぁGoogleの90日ルールなんて、当然自分が困るかどうかというクライテリアの下に位置しているので、自分たちが困る脆弱性は90日たっても出さないし、そうじゃなきゃ出すだけって話ですよ。 /
権限大きかったんだな
おま...公開すなや...
UACダイアログのコントロールができるとか、どでかい穴だな。Text FrameworkはIMEなどに関わるものみたい。GoogleもGoogle日本語入力を開発しているし、それ関係で気づいたのかな。 / "XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 - PC Watch"
つまりは見かけ上悪質とは思えないウインドウを出して誘導することで、同時に起動している対象とは関係ない別なアプリのテキストも読み込め…(怖)
もしかして、パソコンってオフラインで使うのが一番安全なのか…?
これはやばい
「さらにUIPIをバイパスできるため、権限の昇格やUAC(ユーザーアカウント制御)ダイアログのコントロールもできるという。」
つまり…どういうことだってばよ
大変そう
対策無いんかい
「対策が準備できないまま公表されることとなった」ダメじゃん
え…?
こんな危険な脆弱性が、まだ残っているのに公表しちゃったの?
みんな、Linuxに乗り換えよう
「90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、」そんな面倒な話なのか
>
XP以降って事はWin10も対象ってことか…っていうか90日で修正できるもんなの?
XP以降、20年存在していたWindowsの脆弱性をGoogleが発見。
認証やアクセス制限の機能が実装されておらず、サンドボックス化されたプロセスなどからでも攻撃可能だと。Microsoft側、未だ対策なしと。かなりとんでもないと思うのだが。
90日の猶予で対応できないと問答無用で公開しちゃうもんなの?
公開済みで未対策なのね
いいから早く特権ユーザーでなくてもキーボード変えられる脆弱性(?)見つからないかなあ…
権限昇格とかなかなかヤバそうな内容ですなぁ。
対策出来てないけど公開するねって犯罪を助長しかねない気がするんだが( ; ゜Д゜)
windows使わずにandroid使いましょうって事かな?それとも自己顕示欲?
はえ〜
テキスト扱う根っこの部分かー
CTFに接続できるってだけだと脆弱性かどうかはわからん。PC外からアクセスできるわけでもないから深刻度が高いというわけでもなさそう。
"MSCTFは、アプリケーションとカーネルの間でキーボードの入力情報やレイアウトの変更などの情報をまとめてやりとり" は簡単に修正できないけど90日経ったから公開するGoogle〜 /
“今回報告された脆弱性は、「Text Framework(TSF)」内にある「MSCTF」というモジュールに関するもの” → XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 - PC Watch
まだXPを使ってる人は結構多そうだな…。
>ほかのウィンドウやセッションのテキストの読み書き
>スレッドやプロセスIDなどの偽装
>サンドボックスからのエスケープ
>権限の昇格
>ダイアログのコントロール

かなり危ない脆弱性が全windowsに

> PCWatch
今のところ対策なし、とのこと。>
ふむ、、アカンやん。90日の猶予期間の間にMicrosoftが解決策を用意できなかったのも痛い。アカンやん。
これアカンやつ
権限昇格もできるって
うわ・・・。更新ファイルきてくれー!
>なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった

あらま。。。
“「Text Framework(TSF)」内にある「MSCTF」というモジュールに関する脆弱性。MSCTFは、アプリケーションとカーネルの間でキーボードの入力情報やレイアウトの変更などの情報をまとめてやりとりする。” / “XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 …”
うちには MS 製品が何も無い。良かった。 /
マジかよ…。なるべく早く解決してもらいたいものですね|
"Windowsにログインすると自動的にCTF monitor service(ctfmon.exe)というサービスを開始する。このサービスが実際にアプリケーションとカーネルとをつなぐのだが、認証やアクセス制限の機能が実装されておらず"
なにそれこわい
XP以降じゃなくてVISTA以降では?
マジか…(;゚д゚)
» - 公開してええんかなこれ。
やへーやつじゃん
これはいろんな意味でヤバいのでは、、最悪の場合、必要な改修したらアプリの互換性無くなるんじゃねって気も。
こわいよん。。
20年ということは、開発段階のXPの頃からすでにあった脆弱性ということだろうか??

-
影響範囲広すぎる(°m° ;)
<発表だけされてもなぁ…。(ま、自分は基本的にUbuntu使いなんだが。)
ほとんど死刑宣告みたいなものやん。どんだけ使われてると思うのよ。POSなんて大抵Windowsやで。
マイクロソフトのみなさん、がんばってー!
まあ怪しいソフト入れなきゃ今のところは、大丈夫かな
は??
最後まで記事読んだけど、対策なし?
“ほかのウィンドウやセッションのテキストの読み書き、スレッドやプロセスIDなどの偽装、サンドボックスからのエスケープなど。さらにUIPIをバイパスできるため、権限の昇格やUACダイアログのコントロールもできる” / “XP以降、20年存在していたWindowsの脆弱性をGoogleが…”
なんじゃこりゃ!MSの阿呆が(呆)
リモート攻撃はできない感じ。悪意のバイナリを実行しない限りは穴を突かれることはないのかな。 /
"なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。" おいMicrosoft
うわ、すごいな
しかも最後の一文…対策が準備できないまま公表…😇
XPから20年もたってなくない????
じゃあwin2kインスコしようかな...(´Д`)
いぇーい∩^ω^∩
結構ヤバない?はよなおして
うーんこれは厳しそう。 /
これは… | -
やっぱWindows2000は最強だったんやな!( ´∀`)(ぇ
>"90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。 "
また「俺様独自の90日ルール」かよ(´・ω・`)
お次はPC関連の PCwatch様より



そんなに長い期間存在する脆弱性があったなんて…。しかもかなりOSの根幹に関わるモジュールなのですが、対策が出されていないので不安になる方もいらっしゃるか?
普通によくないやつでは…?
Microsoft CTF、ウケる。(ウケない。)
ま。まじか。
ゼロデイのヤバいやつやん。
セキュリティホールと言うよりWindowsの仕様かと思っていた。所詮、そんなものだろうと割りきっていた。 ー
とんでもない脆弱性が見つかったなオイ
同じデスクトップ上に立ってる別アプリを攻撃できるってことです(´・ω・`)?
これはすぐには修正できないだろうなぁ。
90日では無理と思われる
なんだか怖そうな話が出てきたな。-
「解決に至らなかったため、対策が準備できないまま公表されることとなった」え…?
修正すると既存IME全般に及ぼす影響が大きく、解決に時間かなりかかっている系? / 入力システムのレイヤはどうしても高い権限・特権を有するので、Leopardのはたけフリーズとかのように突っつかれると深刻よね… / “XP以降、20年存在していたWindowsの脆弱性をGoogleが発…”
なにしてくれとんねん。
「XP以降、20年存在していたWindowsの脆弱性をGoogleが発見」

Windowsも隙だらけです。
こうした脆弱性が悪用されると、ユーザーの端末は悪意ある第三者による悪意ある操作が可能となってしまいます。
「悪用すれば、任意のアプリケーションやユーザー、サンドボックス化されたプロセスなどからでも、すべてのCTFセッションへ接続が可能となる」 /
えっ?
猶予期限切れで公表されちゃったの??
XP以降、20年存在していたWindowsの脆弱性をGoogleが発見。
解決策が一定期間見つからなかったため内容公開へ。
このテキストサービスは、なんかやたらとCPUを食ったりとか、出来の悪い印象があります。英語圏じゃ必要のない機能だから優先順位が低いのかもしれませんね
まだ修正されてない>
すごいな。(-。-;
21世紀を目撃し続けてきた脆弱性というわけか.../
20年も前の脆弱性なのにGoogleは一律90日で公開してしまうのか。
未修正のままなのか。すぐに修正できなさそうな気もするが…
ctfmon.exe、XPのBSODでよく見たなー。
「この脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった」

…は?
おっ、これはひどいバグだ。キーボード入力のセッション分離とかないのか??
"これを悪用すれば、任意のアプリケーションやユーザー、サンドボックス化されたプロセスなどからでも、すべてのCTFセッションへ接続が可能となる"
えー、パッチ準備できる前に公開しちゃったのかよ。自動更新しちゃうソフトが攻撃手段載せちゃう可能性もあるわけで…どうするんだ?
これ要するにMSCTFのプロトコルが腐ってる問題っぽいので問題の影響範囲が大きすぎてすぐには解決しないんじゃないかな… /
Project Zero容赦ない……90日告知は自分も経験ある。最近だとinteger overflow。exploit何ヶ月も走らせて成功してたけど最適化したら数日で落とせたぜ!みたいなやつで、その執念に気が遠くなった。Chromeだと慌てて直してもタイミング次第ではβブランチにマージ必要な期日。
ログインじゃないでしょ、Windows なんだから.
「この脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。」って怖すぎません…?
@ZDNet @campuscodi 日本語情報も出たようですね。
早急に対応できなさそうな機能脆弱性っぽいが、これAzureにとっては致命的脆弱性にならんか…? /
"なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった" /
対策が出ていないので注意。
“90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった” / (25 users)
セキュリティ:メモ:「XP以降、20年存在していたWindowsの脆弱性をGoogleが発見」

「なおこの脆弱性については」
「なお、この脆弱性については」
「"なおこ"の脆弱性については」
日本語は難しな.
“この脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった” ええぇ... /
認証とアクセス制限がない太古からのサービスに認証などの変更加えた場合の影響が計り知れないんでMSも90日で対応出来ないってことか?それとも脆弱性の危険度・緊急性は低いというMSの判断か? /
これ、かなりやばい脆弱性やぞ。/
日本も90日ルール実施した方が良いですよね。
90日で対応出来ないくらい根が深いのか、諦めの境地かどちらだ。久々にXP向けパッチ出たりして -
その昔、ctfmon.exeを嬲って遊んでいたことを思い出したが、確かに「脆弱性」といわれればそのとおりだ(苦笑)。セキュリティを意識していなかったXP由来だけに…。
ずいぶん致命的に聞こえるんですが気のせいですか:
かなり限定的だがよー見つけたなこれw
「なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。」 これいつももにょるんだが(´・ω・`):
「90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。」 わーお :
以上

記事本文: XP以降、20年存在していたWindowsの脆弱性をGoogleが発見 - PC Watch

関連記事