アカウント名:
パスワード:
Wineを導入することによってWindowsを対象とした攻撃が影響を及ぼす恐れがある…ホントかよ?
だなんて思っていた時代が、私にもありました。5分位前です。
でも、正確にはWindowsを対象とした攻撃というよりもgnome環境を対象とした攻撃ということになるのかな?
まぁ、Wineも使わないし、Gnome系も普通使わないので直接的な影響は受けないんですけどね。
昔(15年位前?)の雑誌かWebかで見かけた記事を思い出しました。
うろ覚えですが、Linuxには殆どないのに、Windowsにはウイルスが沢山あって遊べてずるい!何とかして、Linuxでウイルスを動かそう!見たいなノリでした。
それで、初期のWineを使って有名なウイルスを実行するも、殆ど起動せず、起動しても何も起きなかったりだったけど、1つだけ、Windowsで行っているような悪さはしないけど、Linuxをフリーズさせるウイルスがあって、被害を出せたのは評価できるみたいな結論だった気がします。
原文は見つかりませんでしたが、翻訳がありました。
https://mag.osdn.jp/05/01/31/0346216 [mag.osdn.jp]
文中には、「自分で実行しなければならない」とありますが、今回の機能で、自動実行が行えるようになったというのは感慨深いものがあります。
いや。。Windows云々以前にインジェクション対策の問題かと
・エスケープを考慮していない・問答無用の自動実行
この前提であればシェルスクリプトを用いても成り立ちますOSの違いは用いるスクリプト言語の違いでしかない
# 道具が悪いんじゃない阿呆が悪いのさ
Wineが生成する奴を利用するのでUnix系がターゲットなんでしょうね。しかし.MSIファイルをWindows以外を狙うために作るなんて発想は、仕組み的に出来ることが分かってたとしても中々思い付かないな。
簡単に引っかかりそうだ。。
Windows10のBashも同じ運命辿るんだろうな。。
問題のある VBScript を生成しているのは、gnome-exe-thumbnailer であって Wine ではないよ。(Wine は VBScript のインタプリンタを実行するのに使ってるだけ)
しかしなんでまたサムネイルにバージョンの表示なんて余分なことをしようと思ったんだか……。
>Windows10のBashも同じ運命辿るんだろうな。。
Windows Subsystem for Linuxは自分でインストールすることが必要で、メニューの場所も知らなきゃわからない深い場所にありますので、開発者以外のユーザーは使わないでしょう。
他にも、標準で入っているPowerShellも、初期設定ではスクリプトの実行が禁止されていたり、拡張子*.ps1がメモ帳に関連付けされている(ダブルクリックでは実行できない)など、カジュアルユーザーが攻撃を受けないように配慮されています。
そのへんは今後改善(改悪かもしれないが)される予定ですね。そのうちインサイダー以外でもインストールできるようになるでしょうし。 http://forest.watch.impress.co.jp/docs/news/1064455.html [impress.co.jp] http://gigazine.net/news/20170711-ubuntu-on-windows-store/ [gigazine.net] まあWindows上でBashを使うような人がwineを使うとも思えないので今回のような問
まあWSHのスクリプトがウイルス対策ソフトに削除されて実質使い物にならないようになっちゃったからね。同じ失敗を繰り返すわけにはいかんでしょ
自動ダウンロード有効なWebブラウザで流し込まれたら結構ヤバイ。気づいた時や知らないうちにはすでにダウンロード済みで、消そうとしたり別のファイルをダウンロードして開こうとフォルダを見た瞬間アウトだからねぇ。
windowsにも似たような問題があったがまあスラドユーザーレベルならコマンドをカタカタやっておしまいだろう。
これは○○用のだから××上で見る分には大丈夫だろう、を完全にあざ笑う方法ですよね。
警戒したら徒になるとかシャレにならん。。
えらくスカスカな長文だな…
この程度で長文って…何文字までなら読めるのよ
本来はウィンドウズ用のファイルと使ってwindows用のコードを使ってLinuxを攻撃できるという話です。ウィンドウズ相手には無効なはずです。非常にお手軽で危険ですね。見る人が見ればすぐに見破れる攻撃ではあるが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
Wineのリスクって… (スコア:0)
Wineを導入することによってWindowsを対象とした攻撃が
影響を及ぼす恐れがある…ホントかよ?
だなんて思っていた時代が、私にもありました。5分位前です。
でも、正確にはWindowsを対象とした攻撃というよりも
gnome環境を対象とした攻撃ということになるのかな?
まぁ、Wineも使わないし、Gnome系も普通使わないので
直接的な影響は受けないんですけどね。
Re:Wineのリスクって… (スコア:3, 興味深い)
昔(15年位前?)の雑誌かWebかで見かけた記事を思い出しました。
うろ覚えですが、Linuxには殆どないのに、Windowsにはウイルスが沢山あって遊べてずるい!何とかして、Linuxでウイルスを動かそう!見たいなノリでした。
それで、初期のWineを使って有名なウイルスを実行するも、殆ど起動せず、起動しても何も起きなかったりだったけど、1つだけ、Windowsで行っているような悪さはしないけど、Linuxをフリーズさせるウイルスがあって、被害を出せたのは評価できるみたいな結論だった気がします。
Re:Wineのリスクって… (スコア:2, 興味深い)
原文は見つかりませんでしたが、翻訳がありました。
https://mag.osdn.jp/05/01/31/0346216 [mag.osdn.jp]
文中には、「自分で実行しなければならない」とありますが、
今回の機能で、自動実行が行えるようになったというのは
感慨深いものがあります。
Re:Wineのリスクって… (スコア:1)
いや。。
Windows云々以前に
インジェクション対策の問題かと
・エスケープを考慮していない
・問答無用の自動実行
この前提であれば
シェルスクリプトを用いても成り立ちます
OSの違いは用いるスクリプト言語の違いでしかない
# 道具が悪いんじゃない阿呆が悪いのさ
Re:Wineのリスクって… (スコア:1)
Wineが生成する奴を利用するのでUnix系がターゲットなんでしょうね。
しかし.MSIファイルをWindows以外を狙うために作るなんて発想は、仕組み的に出来ることが分かってたとしても中々思い付かないな。
簡単に引っかかりそうだ。。
Windows10のBashも同じ運命辿るんだろうな。。
Re:Wineのリスクって… (スコア:3)
問題のある VBScript を生成しているのは、gnome-exe-thumbnailer であって Wine ではないよ。
(Wine は VBScript のインタプリンタを実行するのに使ってるだけ)
しかしなんでまたサムネイルにバージョンの表示なんて余分なことをしようと思ったんだか……。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:Wineのリスクって… (スコア:1)
>Windows10のBashも同じ運命辿るんだろうな。。
Windows Subsystem for Linuxは自分でインストールすることが必要で、
メニューの場所も知らなきゃわからない深い場所にありますので、
開発者以外のユーザーは使わないでしょう。
他にも、標準で入っているPowerShellも、初期設定ではスクリプトの実行が禁止されていたり、
拡張子*.ps1がメモ帳に関連付けされている(ダブルクリックでは実行できない)など、
カジュアルユーザーが攻撃を受けないように配慮されています。
Re: (スコア:0)
そのへんは今後改善(改悪かもしれないが)される予定ですね。そのうちインサイダー以外でもインストールできるようになるでしょうし。
http://forest.watch.impress.co.jp/docs/news/1064455.html [impress.co.jp]
http://gigazine.net/news/20170711-ubuntu-on-windows-store/ [gigazine.net]
まあWindows上でBashを使うような人がwineを使うとも思えないので今回のような問
Re: (スコア:0)
まあWSHのスクリプトがウイルス対策ソフトに削除されて実質使い物にならないようになっちゃったからね。
同じ失敗を繰り返すわけにはいかんでしょ
Re: (スコア:0)
自動ダウンロード有効なWebブラウザで流し込まれたら結構ヤバイ。
気づいた時や知らないうちにはすでにダウンロード済みで、消そうとしたり別のファイルをダウンロードして開こうとフォルダを見た瞬間アウトだからねぇ。
Re: (スコア:0)
windowsにも似たような問題があったがまあスラドユーザーレベルならコマンドをカタカタやっておしまいだろう。
Re: (スコア:0)
これは○○用のだから××上で見る分には大丈夫だろう、を完全にあざ笑う方法ですよね。
警戒したら徒になるとかシャレにならん。。
Re: (スコア:0)
えらくスカスカな長文だな…
Re: (スコア:0)
この程度で長文って…
何文字までなら読めるのよ
Re: (スコア:0)
本来はウィンドウズ用のファイルと使ってwindows用のコードを使ってLinuxを攻撃できるという話です。
ウィンドウズ相手には無効なはずです。
非常にお手軽で危険ですね。見る人が見ればすぐに見破れる攻撃ではあるが。