792 :sage :04/02/03 15:07 ID:yvu4tuDV>>777
ATOKの場合ATOKパレット(ツールバーみたいなやつ)から
ヘルプやユーザ登録用のURLショートカット(ブラウザが起動する)を呼び出せるのだけれど、
スクリーンセーバーを解除した時とかに現れる
[コンピュータのロックの解除]でユーザ名部分の漢字入力をするため
ATOKを呼び出した時もそれが操作できちゃったわけ。
(ブラウザとかはウィンドウが画面に出てこないけれど、
裏で動いていることがタスクマネージャで確認できる)で、問題なのはこれらのプログラムがログイン中のアカウントではなく
SYSTEMアカウントで動作するので権限を持たないユーザが
タスクマネージャで確認するのはできないし、
キーボードを触れるユーザならば好きなだけ
バックグラウンドで立ち上げられるので
キーボードロックも無意味になっちゃったってこと。パッチ当てたらこれができなくなったから、
このことを脆弱性と捉え修正されたのだと思われ。
めっちゃでかい穴じゃん・・・(;´д`)ノ
ブラウザ=エクスプローラが立ち上がるっていうことはエグゼファイルなんかもダブルクリックで実行し放題ですか?
今手元に環境がないのでテスト出来ませんが、みっけしだい試してから(笑)パッチ当てたいと思います
にしても多人数で使っている環境だと恐ろしく影響範囲のでかいセキュリティホールですね・・・
Posted by Takuchan at 2004年02月04日 18:31 | トラックバック(0)