パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない」記事へのコメント

  • by Anonymous Coward on 2019年08月03日 11時58分 (#3663120)

    https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-e... [insinuator.net]

    これが実行されるのが仕様ってあんまりでは。

    • by Anonymous Coward

      まるで電卓が悪者みたいじゃないかっ!

      • by Anonymous Coward on 2019年08月03日 13時20分 (#3663155)

        Windowsの三大被害者
        ・calc.exe
        ・notepad.exe
        ・cmd.exe

        自分が悪くなくてもexploitによってさらし者になる運命なのだよ

        親コメント
        • by Anonymous Coward

          それらに脆弱性緩和機能が追加される日も近いな。

          # Microsoftならやりかねん

          • by Anonymous Coward

            powershellにはリモートから(操作を指示されたユーザによって)任意の(スクリプトファイルに記載された)コードを実行する脆弱性に対する緩和機能があります。
            わざわざユーザが明示的にスクリプトの実行を可能に設定しないとスクリプトファイルを実行できないあれです。
            でも拡張子が.batなファイルを実行するだけで実行できるcmd.exeには同様の緩和策がいつまでたっても搭載されません。
            多分されないでしょう。

            • by Anonymous Coward

              execution policyの事であれば、powershell.exe実行時の引数に、
              「-ExecutionPolicy Unrestricted」を付与することによって、
              ps1ファイルに書かれた任意のコードを実行できてしまいますし、
              「-Command」引数を使用すれば、やはり任意のコードを実行できてしまいます。
              # ユーザーの誤操作防止用の機能ですし、緩和策にならないのでは?

              • by Anonymous Coward

                とりあえず、ファイルをダブルクリックで実行で動かなきゃ十分緩和策ですよ。
                PowerShellでやれることはEXEファイルと変わらないし。

              • by Anonymous Coward

                必要十分な緩和策でしょ。
                使うユーザーは意識するし、使わないユーザーのところで勝手に動かなければ、9割以上防げる対策になるんじゃない?

              • by Anonymous Coward

                大元のコメはexe実行の話であって、
                ps1ファイルをダブルクリックした時の話ではないのだけれども?

                #libreofficeのマクロから実行の話だし

      • by Anonymous Coward

        悪の枢軸ってことならemacsあたりにしておくべきだったね。

    • by Anonymous Coward

      Microsoft Officeの代替を目指す以上、同等かそれ以上のセキュリティーリスクも必要なのかな。

      • by Anonymous Coward

        Microsoft OfficeもVBAで同様に外部プログラムを実行できると思いますけれど。

        • by Anonymous Coward on 2019年08月03日 15時56分 (#3663210)

          セキュリティー設定変えないと警告がでますし、十年以上前からのXMLタイプの新形式だと、マクロが含まれるなら拡張子が.xlsmでないと動かない。

          親コメント
          • by Anonymous Coward on 2019年08月04日 22時35分 (#3663771)

            > セキュリティー設定変えないと警告がでますし

            LibreOfficeのマクロ実行はデフォルトだと署名付きしか実行できない設定だし、
            そこから設定でセキュリティレベルを下げる場合も、
            「(MS Officeと同様に)開いた際に実行するかしないか確認する」と、
            「確認なく実行する(非推奨であることを明記)」と2段階あるわけだけれども。

            そこらへん理解して発言してます?

            > 拡張子が.xlsmでないと動かない。

            Windowsのデフォルト設定なら拡張子なんて見えないし、攻撃する側からしたら
            拡張子を「.xls」にするか、例えばRLOを利用して「.xlsx」が拡張子のように見せかけるだけでしょ。

            親コメント
            • by Anonymous Coward

              その設定関係なく、イベントハンドラに割り当てると実行されてしまうってのが
              書いてあるわけだが、お前こそ理解できてんのか?

        • by Anonymous Coward

          だからそういう話じゃないの?

    • by Anonymous Coward

      次回で修正されるらしいじゃないですか
      ちゃんとしっかりと対策されて
      LibreOfficeからはcalc.exeが実行されないようになりますよ
      その次のリリースではnotepad.exeが実行されないようになりますよ
      更にその次のリリースでは(ry

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...