パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない」記事へのコメント

  • by Anonymous Coward

    https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-e... [insinuator.net]

    これが実行されるのが仕様ってあんまりでは。

    • by Anonymous Coward

      まるで電卓が悪者みたいじゃないかっ!

      • by Anonymous Coward

        Windowsの三大被害者
        ・calc.exe
        ・notepad.exe
        ・cmd.exe

        自分が悪くなくてもexploitによってさらし者になる運命なのだよ

        • by Anonymous Coward

          それらに脆弱性緩和機能が追加される日も近いな。

          # Microsoftならやりかねん

          • by Anonymous Coward

            powershellにはリモートから(操作を指示されたユーザによって)任意の(スクリプトファイルに記載された)コードを実行する脆弱性に対する緩和機能があります。
            わざわざユーザが明示的にスクリプトの実行を可能に設定しないとスクリプトファイルを実行できないあれです。
            でも拡張子が.batなファイルを実行するだけで実行できるcmd.exeには同様の緩和策がいつまでたっても搭載されません。
            多分されないでしょう。

            • by Anonymous Coward on 2019年08月03日 22時22分 (#3663328)

              execution policyの事であれば、powershell.exe実行時の引数に、
              「-ExecutionPolicy Unrestricted」を付与することによって、
              ps1ファイルに書かれた任意のコードを実行できてしまいますし、
              「-Command」引数を使用すれば、やはり任意のコードを実行できてしまいます。
              # ユーザーの誤操作防止用の機能ですし、緩和策にならないのでは?

              親コメント
              • by Anonymous Coward

                とりあえず、ファイルをダブルクリックで実行で動かなきゃ十分緩和策ですよ。
                PowerShellでやれることはEXEファイルと変わらないし。

              • by Anonymous Coward

                必要十分な緩和策でしょ。
                使うユーザーは意識するし、使わないユーザーのところで勝手に動かなければ、9割以上防げる対策になるんじゃない?

              • by Anonymous Coward

                大元のコメはexe実行の話であって、
                ps1ファイルをダブルクリックした時の話ではないのだけれども?

                #libreofficeのマクロから実行の話だし

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...