ТЕСТ НА ОТЦОВСТВО
セキュリティ研究者であるTavis Ormandyは、英国のセキュリティ企業ソフォスによって開発されたアンチウイルス製品の重大な脆弱性を発見し、組織に
Googleの情報セキュリティエンジニアとして働いているOrmandy氏は、研究論文で発見された脆弱性の詳細を公開しました。この脆弱性の詳細については、「企業の製品開発、品質保証、 Sophail:Sophos Antiに対するアプリケーション攻撃ウイルス "が公開された。 Ormandy氏によると、この調査は暇な時間に行われたものであり、同紙に書かれている意見は、自分のものであり、雇用主のものではないと述べています。
SophosアンチウイルスコードのVisual Basic 6 、PDF、CAB、およびRARファイルを含む。これらの欠陥のいくつかはリモートから攻撃され、システム上で任意のコードが実行される可能性があります。
[詳しい情報:Windows PCからマルウェアを削除する方法]Ormandyには概念実証エクスプロイト彼が主張しているPDF解析脆弱性のために、ユーザの操作や認証が不要で、自己拡散型ワームに簡単に変換することができます。
Mac版のSophosアンチウィルス用のエクスプロイトを開発しましたが、
PDF解析の脆弱性は、OutlookやMail.appで電子メールを受信するだけで悪用される可能性があると、Ormandy氏は述べています。
「グローバルネットワークワームの最も現実的な攻撃シナリオは、電子メールによる自己増殖です」とOrmandy氏は述べていますが、Sophosのウイルス対策ソフトウェアは自動的に入出力(I / O)操作を傍受するため、電子メールを開くか読むことは必要ありません。 "脆弱性が自動的に悪用されるため、電子メールを操作する必要はありません。"しかし、他の攻撃方法も可能です。たとえば、攻撃者が提供する任意の種類のファイルを開くことなどがあります。 (サンドボックスブラウザでも)URLを訪問したり、MIME cid:URLを使用して画像をウェブメールクライアントで開いたメールに埋め込んだりするなど、 "攻撃者がI / Oを引き起こすために使用できる方法であれば、この脆弱性を悪用するのに十分です。" Ormandyは、Sophosアンチウイルスにバンドルされている「バッファオーバーフロープロテクションシステム」(BOPS)というコンポーネントが、ASLRアドレススペースレイアウトのランダム化)は、Vistaやそれ以降を含め、デフォルトでサポートしているすべてのWindowsバージョンで軽減機能を活用しています。
「このようなASLRをシステム全体で無効にすることは簡単にできません。マイクロソフトが提供するものよりも機能的に劣る」と語った。オーマンディーは、ソフォスのウイルス対策ソフトによってインストールされたInternet Explorer用のブラックリストコンポーネントは、ブラウザのプロテクトモード機能によって保護されていると主張している。さらに、ブラックリストコンポーネントによって警告を表示するために使用されるテンプレートは、ブラウザの同一起点ポリシーを敗北させる普遍的なクロスサイトスクリプティングの脆弱性をもたらします。
同じ起点ポリシーは、「インターネットを安全にする基本的なセキュリティメカニズムの1つです。 」とOrmandyは言った。 Ormandy氏のコメントによれば、これらの脆弱性の多くは捕らえられていたはずであることを示唆しています。製品開発および品質保証プロセス中に発生する可能性があります。
研究者は、調査結果をソフォスと事前に共有し、同社はこのペーパーに開示されている脆弱性に対するセキュリティ修正をリリースしました。一部の修正は10月22日に公開され、他は11月5日にリリースされたが、ブログ記事では9月に公開された。
Ormandyが発見した潜在的に悪用可能な問題は、セキュリティテストソフォスと共有されていたが公開されていなかった。
「セキュリティ会社として、顧客を安全に保つことは、ソフォスの第一の責任である」とソフォス氏は述べている。結果として、ソフォスのエキスパートはすべての脆弱性レポートを調査し、可能な最短時間で最善の行動をとることができます。」ソフォスは、数週間以内にソフォスが修正プログラムを提供し、顧客を混乱させることなくソフォスの上級技術コンサルタントのグレアム・クルーリー氏は、「通常の業務」と述べ、電子メールで報じた。 「Tavis Ormandyがこの脆弱性を発見したことに感謝しています。これはソフォスの製品をより良くするのに役立ちました。」しかし、Ormandy氏は、Sophosが報告した重大な脆弱性にパッチを当てる時期に満足していませんでした。
「ソフォスは、この報告書への早期アクセスに対応して、議論された問題を解決するためにいくつかの資源を配分したが、その解決には明らかに不十分であった。 1人の協力的で非敵対的なセキュリティ研究者である」と語った。ソフォスの調査によると、「ソフォスの製品は、医療、政府、金融、さらには軍にも配備されていると主張している」と述べた。 「動機付けられた攻撃者がこれらのシステムにもたらす可能性のある混乱は、現実的な世界的脅威です。このため、ソフォス製品は、価値の低い重要でないシステムでしか使用できず、敵対者による完全な妥協が不便なネットワークや環境には配備されていないはずです。」
Ormandyの論文には、ベストプラクティスと
「ソフォスは、攻撃の可能性がある場合でも、攻撃を防ぐためには迅速に反応することができません」と、同氏は述べています。 。 「攻撃者がソフォスをネットワークへの接続に使用することを選択した場合、Sophosは引き続き侵入を防ぐことができず、Sophosの導入を続ける場合はこのシナリオを処理するための緊急時対応計画を実施する必要があります。