2015年3月28日土曜日

PC Vista & 7 ガジェットの脆弱性

今更、ガジェットの脆弱性 なんて、古過ぎる話題でしょうかね。
でも、今、こうして投稿を書いているデスクトップの右側には、時計とカレンダーが ... 。
本当は、Microsoft さんや Internet 上の お勧め に従って、利用中止した方が良いのでしょうが ... 。
自分なりに、ちょっと、纏めて見ます。


先ずは、公式発表から。


  ガジェットは廃止になりました
  http://windows.microsoft.com/ja-jp/windows/gadgets


  対処法概要
  Windows サイドバー ガジェットの悪用から Windows Vista および Windows 7 コンピューターを保護する方法
  https://technet.microsoft.com/ja-jp/security/dn261332?f=255&MSPPError=-2147217396



  対処法(一般的)  Microsoft Support
  マイクロソフト セキュリティ アドバイザリ: ガジェットの脆弱性により、リモートでコードが実行される
  https://support.microsoft.com/ja-jp/kb/2719662


  技術情報  マイクロソフト セキュリティ アドバイザリ 2719662
  ガジェットの脆弱性により、リモートでコードが実行される
  https://technet.microsoft.com/library/security/2719662?f=255&MSPPError=-2147217396


ここで、対処法(一般的) に記載されている、ふたつの Fix It が一番簡単です。
もう二度とがジェットを使わないなら、Disable の Microsoft Fix it 50906 を実行します。
もし、無効化したり有効化したりと、色々と試したいのなら、
Disable の Microsoft Fix it 50906 と Enable の Microsoft Fix it 50907 との双方をファイルをダウンロード。  そして、実行。


また、 技術情報のサイトから引用します。  出典: マイクロソフト セキュリティ アドバイザリ 2719662
攻撃者が以下のような方法で、任意のコードを実行するためにガジェットを利用する可能性があることに注意してください。

    マイクロソフトは、Windows サイドバーで動作する正規のガジェットの一部にも脆弱性が存在する可能性があることを認識しています。攻撃者がガジェットの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性があります。
    攻撃者が悪意のあるガジェットを作成して、そのガジェットをインストールするようにユーザーを誘導する可能性があります。インストールした場合、悪意のあるガジェットによって現在のユーザーのコンテキストで任意のコードが実行される可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性があります。

さらに、ガジェットはコンピューターのファイルにアクセスしたり、不快なコンテンツを表示したり、任意の時点で動作を変更することがあります。ガジェットはコンピューターに損害をもたらすこともあります。



さて、ガジェットの おさらい。  実行ファイル絡みの場所は、

UserGadget  %USERPROFILE%¥AppData¥Local¥Microsoft¥Windows Sidebar
Public(Shared)  %Program Files%¥Windows Sidebar¥Shared Gadgets
SysPreInstalled  %Program Files%¥Windows Sidebar¥Gadgets

いずれの場合にも、UserGadgets の既定の場所に以下のフォルダとファイルがあります。
   SubFolder  Cache
   SubFolder  Gadgets   通常の追加されたガジェットを格納
   Files (1)  Settings.ini  構成設定ファイル ひとつ



さて、脆弱性に繋がった理由のひとつと思われるのが、 以下の記事で読み取れます。   そう言う事なのね。.

HTML+JavaScriptで作れる Windows 7デスクトップアプリの基礎知識 - @IT
http://www.atmarkit.co.jp/ait/articles/1004/28/news116.html

引用

 ガジェット特有の機能について、小高氏は次のように説明する。「ガジェットはWebアプリケーションとデスクトップアプリケーションの中間のようなものです。通常のWebアプリケーションは、ローカルの資源は操作できませんが、ガジェットはHTML+JavaScriptなのに、それが可能です」

 特有の機能としては、主に以下がある。

    System.Environment:環境変数の取得
    System.Gadget.SideShow:Windows SideShow用のAPI
    System.ContactManager:アドレス帳
    System.Machine:ローカルPCの情報(CPU使用率など)
    System.MessageStore:メール情報
    System.Network.Wireless:無線LANの接続状況
    System.Shell:ファイル操作など
    System.Sound:音を鳴らす
    System.Time:時刻
    System.Gadget.Flyout:Fluout用
    System.Gadget.Settings:オプションダイアログの設定用

 これらの機能について、小高氏は注意を促す。「ローカル資源のアクセスが可能ということは、セキュリティに注意が必要です。ファイル削除など、ローカル環境の破壊や、メールの読み書きなどが可能となってしまいます。ユーザー側は、素性の分からないガジェットはインストールしないように注意する必要があります」


本当に、普通に 当初から用意されている ものを 使っていて、危ないのか否か、 そこが いまひとつ 不明なのですが、
特に、時計やカレンダー ... 。.
まぁ、皆さんの お勧めに 従って、 無効化しておくのが無難なのでしょうかね。



0 件のコメント:

コメントを投稿