2019/08/14 19:43
appl114514
この調子だと MS-DOS 時代の脆弱性を未だに引きずってそうだな
2019/08/14 19:54
Chishow
まだまだこういうの眠ってるんだねぇ 過去に権限的にアクセス不能になってしまったデータとかこういうので取り戻せたりできそうだよね 封印されたビットコイン遺産とか
2019/08/14 20:04
ockeghem
『なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった』
2019/08/14 20:14
cunlingusmaster
解決に至らなかった原因が単にリソース不足で対応なのか別の理由なのか、ウインの見解は?
2019/08/14 20:29
at_9FgRkUX8Xr
ぐえー・・・(´・ω・`)
2019/08/14 20:38
endo_5501
“この脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった” ええぇ...
2019/08/14 20:47
niwatako
“90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった”
2019/08/14 20:57
Mu_KuP
早急に対応できなさそうな機能脆弱性っぽいが、これAzureにとっては致命的脆弱性にならんか…?
2019/08/14 20:57
t_f_m
"なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった"
2019/08/14 21:21
tetsutalow
これ要するにMSCTFのプロトコルが腐ってる問題っぽいので問題の影響範囲が大きすぎてすぐには解決しないんじゃないかな…
2019/08/14 21:25
alfe1025
権限昇格できるのはやばそうだが、Attack VectorはPhysicalかLocalくらいだろうか。
2019/08/14 22:01
rgfx
よーまあ見つけたな(;´Д`)しかしまあ、うへえ。
2019/08/14 22:23
kaorun
あちゃー、IMEはある種特権のあるプロセスだから互換性維持しながら対処するの厳しいかもねぇ。これ、日本人が実装したところでは?
2019/08/14 22:32
amino_acid9
「悪用すれば、任意のアプリケーションやユーザー、サンドボックス化されたプロセスなどからでも、すべてのCTFセッションへ接続が可能となる」
2019/08/14 22:45
blueboy
マイクロソフト「Win 7 は、2020年以後はサポートしません。セキュリティリスクがあるので、Win10 に乗り換えてください」「Win10なら大丈夫なの?」「Win10 もダメです。次期Wins11にしてください」「いつ出るの?」「2022年」
2019/08/14 22:53
osakana110
“なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。”もう少し猶予なかったん?
2019/08/14 22:57
umbrellap
PoCなしでは容易に悪用できなさそうだが、ヤバさ度合いはかなり高め
2019/08/14 23:02
nezuku
修正すると既存IME全般に及ぼす影響が大きく、解決に時間かなりかかっている系? / 入力システムのレイヤはどうしても高い権限・特権を有するので、Leopardのはたけフリーズとかのように突っつかれると深刻よね…
2019/08/14 23:26
mohno
XPの脆弱性なんて……と思ったら、XP以降すべて、なのか。すでに指摘されているが、直す気がないんじゃなく、直しにくい問題なのかもね。
2019/08/14 23:34
zions
GoogleはMeltdown/Spectreの時は90日公開ルールを一ミリたりとも守らなかった。Googleの脆弱性公開姿勢は信用ならん。
2019/08/14 23:45
kazema_tsu
遅れとか時間議論はどーでも良いので対策を粛々と進めよう
2019/08/14 23:46
kiri3
やばそう。
2019/08/14 23:47
adsty
Microsoftへ情報提供が行われたが、90日の猶予期間を超えても未解決のため公表された。
2019/08/14 23:48
houyhnhm
うーんこれは厳しそう。
2019/08/15 00:07
wow64
脆弱性埋めたらIMEが使いづらくなるとかあるのかな
2019/08/15 00:08
rti7743
IMEがない地域だとなかなか理解されなさそうに思った
2019/08/15 00:08
mz88av40
まぁ今まで20年間悪用されなかったということは、大した弱点ではないようだな。
2019/08/15 00:21
onim
Windowsの日本語周りはIMEもフォントもローカライズも酷すぎる。日本人よく我慢してこんなOS使ってるなぁと感心するレベル
2019/08/15 00:27
nkawai
警告から90日で内容公開って、やっぱりただの暴力だと思う。
2019/08/15 00:30
FukaEnogu
“なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった”もうちょっと待っても良いんじゃない?
2019/08/15 00:43
Dragoonriders
テキストサービスの改修は非常に影響範囲がでかい。90日程度では到底無理な話。Googleは情け容赦ない。マイクロソフトくらい簡単に吹き飛ばせるぞ、ということなのか。
2019/08/15 01:11
lenore
20年存在していた脆弱性を警告から90日で対策されないまま公表って何となく謀略的。(暴力的のtypoだが意外と合ったのでこのまま
2019/08/15 01:26
Shinwiki
人の粗探しやってないでまともなOS作りなさいよ…アンドロイドとか全然イケてないじゃん。
2019/08/15 01:31
dekaino
リモート攻撃はできない感じ。悪意のバイナリを実行しない限りは穴を突かれることはないのかな。
2019/08/15 01:49
John_Kawanishi
pic.twitter.com/knGRiRNTqO
2019/08/15 02:01
diveintounlimit
“ほかのウィンドウやセッションのテキストの読み書き、スレッドやプロセスIDなどの偽装、サンドボックスからのエスケープなど。さらにUIPIをバイパスできるため、権限の昇格やUACダイアログのコントロールもできる”
2019/08/15 02:25
moondoldo
脆弱性
2019/08/15 02:41
ifttt
これでMicrosoftがAndroidの脆弱性を見つけたらおもしろいんだけどな〜
2019/08/15 02:52
btron
実は解決用のコードをGoogleが持っているけど、金額が合わなかったとか・・。
2019/08/15 03:03
kamiokando
これって犯罪者にとって有益な情報では?
2019/08/15 03:48
kuzumaji
大企業の晒ageかー…えげつないなぁ
2019/08/15 04:16
ooblog
#Windows 「脆弱性~XP以降のすべて~Text Service Framework(TSF)~MSCTF~CTF monitor service(ctfmon.exe)~メモ帳~読み書き」
2019/08/15 04:36
djshacho
あれだけ儲けていて何も対策出来ないの?
2019/08/15 05:03
karkwind
ひぇ
2019/08/15 06:12
solidstatesociety
お金払ってこのレベルだからなぁ
2019/08/15 06:13
gendou
自分に甘く他人に厳しいスタイル
2019/08/15 06:25
primedesignworks
うちには MS 製品が何も無い。良かった。
2019/08/15 06:39
typex2
“「Text Service Framework(TSF)」内にある「MSCTF」というモジュールに関する脆弱性。MSCTFは、アプリケーションとカーネルの間でキーボードの入力情報やレイアウトの変更などの情報をまとめてやりとりする。”
2019/08/15 07:08
kamei_rio
"MSCTFは、アプリケーションとカーネルの間でキーボードの入力情報やレイアウトの変更などの情報をまとめてやりとり" は簡単に修正できないけど90日経ったから公開するGoogle〜
2019/08/15 07:12
timetrain
そういうのをクラウドサービス戦争に使わんでくれ・・
2019/08/15 07:14
cl-gaku
もうちょいうまくコミュニケーション取れないのかよ
2019/08/15 07:37
yarumato
“Text Service Framework(TSF)内にあるMSCTFモジュールは、CTF monitor service(ctfmon.exe)というサービスを開始する。このサービスは認証やアクセス制限の機能が未実装で攻撃可能”
2019/08/15 07:41
zoidstown
〉なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。
2019/08/15 07:59
suzukiMY
googleprojectzero.blogspot.com
2019/08/15 08:04
TakamoriTarou
ここまで来ると実装じゃなくて仕様の不具合って感じだな。直接的な解決は難しそうだし、弊害も大きそう。単純に対策する互換性が死んで大変なことになるやつ
2019/08/15 08:10
pandaporn
さすがに90日じゃ無理だろと素人のおれでも思う
2019/08/15 08:27
II-O
Google vs MS 場外乱闘始めるの図っぽいね。被害者はユーザーになるんだろうけど。/そんな事よりGoogleは誰得かわからない使えないウェブ検索結果をどうにかしろと。
2019/08/15 08:34
quick_past
これはちょっとやそっとじゃ対策できないパターンでは・・・
2019/08/15 09:01
pixmap
XPは18年前では?
2019/08/15 09:03
hiromark
だいぶやばいやつじゃん?
2019/08/15 09:05
DameKinoko
ctfmon.exe 懐かしいな.終了させねばという衝動が湧いてくる
2019/08/15 09:18
securecat
90日ね。。
2019/08/15 10:15
guavage95
とりあえず
2019/08/15 10:21
haruharu1
へー、やってみようかな
2019/08/15 10:56
jsstudy
"なおこの脆弱性については、90日間の猶予をもってMicrosoftへ情報提供が行なわれていたが、解決に至らなかったため、対策が準備できないまま公表されることとなった。" Googleにケツを蹴り上げられるMicrosoftの図
2019/08/15 11:03
gogatsu26
“ログインすると自動的にCTF monitor service(ctfmon.exe)というサービスを開始する。このサービスが実際にアプリケーションとカーネルとをつなぐのだが、認証やアクセス制限の機能が実装されておらず、攻撃が行なえる”
2019/08/15 11:53
theatrical
まぁGoogleの90日ルールなんて、当然自分が困るかどうかというクライテリアの下に位置しているので、自分たちが困る脆弱性は90日たっても出さないし、そうじゃなきゃ出すだけって話ですよ。
2019/08/15 15:46
kazkun
“XP以降、20年存在していたWindowsの脆弱性をGoogleが発見”
2019/08/15 16:24
sd-craft
最近のGoogleは疑問が多いわ
2019/08/15 18:30
nekomimist
これのようだ > portal.msrc.microsoft.com / 今月のupdateで修正済みではあるようだ
2019/08/15 19:15
asdfjkl12345
こんなん90日の猶予期間での対策無理やろな
2019/08/15 21:10
Coro
Meltdown/Spectreの時はどこかがリークしちゃったからGoogleも公開したんじゃなかったっけ?
2019/08/16 03:00
daybeforeyesterday
うーむ