<< NASA一般相対論の予言する世界のコンピュータシミュレーションに成功 | TOP | JR東日本工事ミス?山手線が夕方近くまで停止 >>

2006年04月24日

Winnyにバッファオーバーフローの脆弱性がある事が判明

Winnyにバッファオーバーフローの脆弱性、回避策は「Winny利用の中止」

金子氏は「諸般の事情でアップデートは困難、利用は理解の上で」とコメント


 情報処理推進機構(IPA)は21日、P2Pファイル共有ソフト「Winny」にバッファオーバーフローの脆弱性が存在すると警告した。IPAでは、開発者による脆弱性の修正方法が公表されていないため、回避方法は「Winny利用の中止」であるとユーザーに呼びかけている。(後略)

元記事:Internet Watch
http://internet.watch.impress.co.jp/cda/news/2006/04/21/11752.html


( ´ω`)ノえ〜、あちこちで何とか情報流出をくい止めようとファイル共有ソフト「Winny」の起動を検知してトラフィックの制御・遮断を行う事が出来る機能を持ったソフトやらなんやらがセキュリティ関連の会社から出されておりますが、そんな中情報処理推進機構(IPA)の方からバッファオーバーフローの脆弱性が存在していると言う警告が出たようでありますね。
このバッファオーバーフローはプログラムが用意したデータの一時的な記憶場所(バッファ)の大きさを超えてデータを書き込んでしまうバグであります。
まぁ、コンピュータのプログラムの中ではよくある脆弱性の一つではありますね。

ヾ(・ω・ )まぁ、これを悪用してOS上の管理者権限を不正に奪い取る等の攻撃を行う事が可能な為に、この脆弱性が見つかったらそのプログラムは至急修正しなくてはいけないわけでありますが、「Winny」の場合は作者の金子氏が「Winny」を作成した事で著作権法違反幇助の罪に問われて、現在刑事裁判の被告人という立場もあって、本人が対応しようがないというわけでありますのぉ。
とは言うものの、一部では金子氏の作成した純正の「Winny」ではこのバッファオーバーフローでソフトが落ちるが、別の人が「Winny」に改良を加えた版では落ちない。
但し改良版はソフトは落ちないが任意のコードを実行させられないかどうかは不明という話もあるみたいですがのぉ。

( ´ω`)ノまぁ、元々「Winny」は改良途中のソフトなのでバッファチェックが不完全で、バッファオーバーフローを起こすとソフトが落ちると言うのは良くあった事らしいですけどね。
まぁ、確かにそう言う脆弱性はあるが、これだけで即PC乗っ取られたりする可能性は低そうと言う話もありますがねー。
取りあえずリモートでWinnyを異常終了させる事は可能だとためしてみた人がいるらしいですよ。
後、改良版を出している人なんかが「自己責任で利用してね」な修正パッチを作ったりもしているようですね。

ヾ(・ω・ )まぁ、そういうの気にしたりする人はそうそうウィルスに引っかかったりもしなさそうな気もしますのぉ。
まぁ、「人間が最大のセキュリティホール」ってよく言われますからのぉ。
こうやって一生懸命に危ないんだぞーって言っても、そう言うニュース自体ウィルスに引っかかる人は気にしなさそうな感じですかのぉ。
あんまりIPAが必死にWinnyの使用をやめさせようとするもんだから、この脆弱性発見のニュースもなかには「政府の情報操作か!」とかって信じようとしない人まで出る始末でしたしのぉ。

( ´ω`)ノよくある脆弱性ですからねぇ、別にあっても不思議ではないんですけどね。
まぁ、さすがに政府の情報操作かってのはうがちすぎかと(笑)
タイミング的に必死で使用をやめさせようと探し出してきたの?て感じに見られちゃうのは仕方ない事でしょうけどねぇ。
まぁ、一番いけないのは私用PCに会社のデータを入れてるって事なんですけどねぇ、情報流出に関して言えば。
もちろん会社のPCにWinny入れたりするのは論外ですけどもね。

参考ページ
日経パソコンオンライン「Winny問題特設サイト」
http://itpro.nikkeibp.co.jp/pc/itsecurity/winny/index.html

Internet Watch
本誌記事に見る“Winny流出”
http://internet.watch.impress.co.jp/static/index/2006/03/10/
ITmedia
特集:Winnyウイルス事件を追う
http://www.itmedia.co.jp/enterprise/special/0603/winny/

@IT
5分で絶対に分かるWinny情報漏えい対策
http://www.atmarkit.co.jp/fsecurity/special/90winny/winny01.html







【ネット・コンピュータ関連の最新記事】
posted by Giselle at 03:56| Comment(2) | TrackBack(1) | ネット・コンピュータ関連 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
ここではお初です。m(_ _)m
んなもんそれこそ自己責任の世界じゃないか、とか思ったり。
そもそも職場のデータ持ち帰ったりする人間が同じ端末でWinny使うということが信じられない。
さんざっぱらウイルスの存在が指摘されているのになんの対策もせずに同じPCで…なんて愚の骨頂。

さて、どうなることやらねえ。
Posted by Joker at 2006年04月24日 23:48
>Jokerさぬ
( ´ω`)ノやぁいらっしゃいませー。
そうそう何が一番問題って会社からデータを持ち帰ってそれをWinnyも入れてるPCに一緒に入れちゃうって言う点ですよね。
後、自衛隊や警察みたいに、官給品がちゃんと揃って無くて私有PCでの業務を認めてたりというのが、情報流出の根本にあるわけで、むやみやたらに使うなー、やめろーと言ってもダメだろうと思われでありますよ。
ちなみに自分自身は用がないので使いませんが(笑)
Posted by Giselle at 2006年04月25日 00:02
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/16970769
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック
「Winny」にセキュリティホール発見
Excerpt: いま情報流出などで何かと注目されている「Winny」であるが、なんと「山田オルタナティブ」以外にも、「Winny」本来の構造によるセキュリティホールが発見され、情報流出の危険性がより
Weblog: ネットカルチャー概論
Tracked: 2006-04-24 10:58
いただいたコメント・トラックバックは、spamコメント・トラックバック排除の為にすぐには表示されません。管理者による承認後表示されます