パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」」記事へのコメント

  • by Anonymous Coward on 2017年07月22日 20時11分 (#3248656)

    Wineを導入することによってWindowsを対象とした攻撃が
    影響を及ぼす恐れがある…ホントかよ?

    だなんて思っていた時代が、私にもありました。5分位前です。

    でも、正確にはWindowsを対象とした攻撃というよりも
    gnome環境を対象とした攻撃ということになるのかな?

    まぁ、Wineも使わないし、Gnome系も普通使わないので
    直接的な影響は受けないんですけどね。

    • by Anonymous Coward on 2017年07月22日 21時04分 (#3248678)

      昔(15年位前?)の雑誌かWebかで見かけた記事を思い出しました。

      うろ覚えですが、Linuxには殆どないのに、Windowsにはウイルスが沢山あって遊べてずるい!何とかして、Linuxでウイルスを動かそう!見たいなノリでした。

      それで、初期のWineを使って有名なウイルスを実行するも、殆ど起動せず、起動しても何も起きなかったりだったけど、1つだけ、Windowsで行っているような悪さはしないけど、Linuxをフリーズさせるウイルスがあって、被害を出せたのは評価できるみたいな結論だった気がします。

      親コメント
    • by Anonymous Coward on 2017年07月22日 20時41分 (#3248667)

      いや。。
      Windows云々以前に
      インジェクション対策の問題かと

      ・エスケープを考慮していない
      ・問答無用の自動実行

      この前提であれば
      シェルスクリプトを用いても成り立ちます
      OSの違いは用いるスクリプト言語の違いでしかない

      # 道具が悪いんじゃない阿呆が悪いのさ

      親コメント
    • by Anonymous Coward on 2017年07月22日 21時43分 (#3248694)

      Wineが生成する奴を利用するのでUnix系がターゲットなんでしょうね。
      しかし.MSIファイルをWindows以外を狙うために作るなんて発想は、仕組み的に出来ることが分かってたとしても中々思い付かないな。

      簡単に引っかかりそうだ。。

      Windows10のBashも同じ運命辿るんだろうな。。

      親コメント
      • 問題のある VBScript を生成しているのは、gnome-exe-thumbnailer であって Wine ではないよ。
        (Wine は VBScript のインタプリンタを実行するのに使ってるだけ)

        しかしなんでまたサムネイルにバージョンの表示なんて余分なことをしようと思ったんだか……。

        --
        svn-init() {
          svnadmin create .svnrepo
          svn checkout file://$PWD/.svnrepo .
        }
        親コメント
      • by Anonymous Coward on 2017年07月23日 5時20分 (#3248773)

        >Windows10のBashも同じ運命辿るんだろうな。。

        Windows Subsystem for Linuxは自分でインストールすることが必要で、
        メニューの場所も知らなきゃわからない深い場所にありますので、
        開発者以外のユーザーは使わないでしょう。

        他にも、標準で入っているPowerShellも、初期設定ではスクリプトの実行が禁止されていたり、
        拡張子*.ps1がメモ帳に関連付けされている(ダブルクリックでは実行できない)など、
        カジュアルユーザーが攻撃を受けないように配慮されています。

        親コメント
        • by Anonymous Coward

          そのへんは今後改善(改悪かもしれないが)される予定ですね。そのうちインサイダー以外でもインストールできるようになるでしょうし。
          http://forest.watch.impress.co.jp/docs/news/1064455.html [impress.co.jp]
          http://gigazine.net/news/20170711-ubuntu-on-windows-store/ [gigazine.net]
          まあWindows上でBashを使うような人がwineを使うとも思えないので今回のような問

        • by Anonymous Coward

          まあWSHのスクリプトがウイルス対策ソフトに削除されて実質使い物にならないようになっちゃったからね。
          同じ失敗を繰り返すわけにはいかんでしょ

      • by Anonymous Coward

        自動ダウンロード有効なWebブラウザで流し込まれたら結構ヤバイ。
        気づいた時や知らないうちにはすでにダウンロード済みで、消そうとしたり別のファイルをダウンロードして開こうとフォルダを見た瞬間アウトだからねぇ。

        • by Anonymous Coward

          windowsにも似たような問題があったがまあスラドユーザーレベルならコマンドをカタカタやっておしまいだろう。

        • by Anonymous Coward

          これは○○用のだから××上で見る分には大丈夫だろう、を完全にあざ笑う方法ですよね。

          警戒したら徒になるとかシャレにならん。。

    • by Anonymous Coward

      えらくスカスカな長文だな…

      • by Anonymous Coward

        この程度で長文って…
        何文字までなら読めるのよ

    • by Anonymous Coward

      本来はウィンドウズ用のファイルと使ってwindows用のコードを使ってLinuxを攻撃できるという話です。
      ウィンドウズ相手には無効なはずです。
      非常にお手軽で危険ですね。見る人が見ればすぐに見破れる攻撃ではあるが。

物事のやり方は一つではない -- Perlな人

処理中...