2004年02月04日

Atokの大穴

Atokで先日セキュリティ対策用にバージョンが上がったのはしってたのですが、なんのためにアップロードされたのかは明確に書いておらずまぁいいやと見送っていたところ
  • 792 :sage :04/02/03 15:07 ID:yvu4tuDV

    >>777
    ATOKの場合ATOKパレット(ツールバーみたいなやつ)から
    ヘルプやユーザ登録用のURLショートカット(ブラウザが起動する)を呼び出せるのだけれど、
    スクリーンセーバーを解除した時とかに現れる
    [コンピュータのロックの解除]でユーザ名部分の漢字入力をするため
    ATOKを呼び出した時もそれが操作できちゃったわけ。
    (ブラウザとかはウィンドウが画面に出てこないけれど、
    裏で動いていることがタスクマネージャで確認できる)

    で、問題なのはこれらのプログラムがログイン中のアカウントではなく
    SYSTEMアカウントで動作するので権限を持たないユーザが
    タスクマネージャで確認するのはできないし、
    キーボードを触れるユーザならば好きなだけ
    バックグラウンドで立ち上げられるので
    キーボードロックも無意味になっちゃったってこと。

    パッチ当てたらこれができなくなったから、
    このことを脆弱性と捉え修正されたのだと思われ。

※全文引用させて頂きました。

めっちゃでかい穴じゃん・・・(;´д`)ノ

ブラウザ=エクスプローラが立ち上がるっていうことはエグゼファイルなんかもダブルクリックで実行し放題ですか?
今手元に環境がないのでテスト出来ませんが、みっけしだい試してから(笑)パッチ当てたいと思います

にしても多人数で使っている環境だと恐ろしく影響範囲のでかいセキュリティホールですね・・・

Posted by Takuchan at 2004年02月04日 18:31 | トラックバック(0)