Microsoft Windows の MP3 オーディオコーデックにおけるバッファオーバーフローの脆弱性

1 ：11/09/01 ～最終レス：11/11/05: 1.概要
Microsoft Windows の MP3 オーディオコーデックにバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
ユーザが悪質な AVI ファイルを閲覧した場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
この脆弱性は、Microsoft が 2010/4/13 にセキュリティ情報 MS10-026 として報告した少し古い問題となりますが、
2011/8/13 に脆弱性を悪用する攻撃ツールが Metasploit で公開されました。
脆弱性を悪用された場合の影響度が高いため、対象のユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
9.3
3.影響を受けるソフトウェア
Microsoft Windows 2000 SP4 ※1
Microsoft Windows XP SP2/SP3
Microsoft Windows XP Professional x64 Edition SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 x64 Edition SP2
Microsoft Windows Vista SP2 以前
Microsoft Windows Vista x64 Edition SP2 以前
Microsoft Windows Server 2008 for 32-bit Systems SP2 以前 ※2
Microsoft Windows Server 2008 for x64-based Systems SP2 以前 ※2
※1 2010/7/14 付けで Windows 2000 は、サポート終了となっています。
※2 Server Core インストールは、この脆弱性の影響を受けません。
4.解説
Microsoft Windows の DirectShow 用の MPEG Layer-3 (MP3) オーディオコーデック (l3codecx.ax) には、AVI ファイル内の
MP3 オーディオストリームのデコード処理に不備が存在します。
http://scan.netsecurity.ne.jp/archives/52007655.html

2 ：: 米Apple社が「最も脆弱性報告の多い企業」に
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。
3 ：: もう一回まとめるか
2007年、MacOS Xは234件の深刻な脆弱性を修正した。
新たなトロイの木馬も発見された。
http://slashdot.jp/apple/article.pl?sid=07/10/31/2138251
大きな感染は確認されなかった。
一方windowsでは
2007年、Windowsは23件の深刻な脆弱性を修正した。
2008年、89万4,250件の新種のマルウェアが発生した。
http://journal.mycom.co.jp/articles/2009/02/16/gdata2/index.html
2007年のウィルス感染は国内の報告数だけで6万3726件であった。
http://www.computerworld.jp/news/sec/93209.html
4 ：: どこをどうまとめたらそういうテキストになるんだ？。
とりあえず、Windows７は関係ないのか。そうなんだな。
5 ：: Appleって、iPhoneが爆発するような事態になっても口止めを迫る企業だもんな
ハードウェア的な被害が出ないマルウェア感染となれば…
6 ：: コーデック程度のプログラムがバッファオーバーフローしても不正アクセスするのは、まず無理っぽくね？
コーデックで何をやるんだよ？　スピーカーから音を鳴らすか？
音程をずらす？　好きな音を鳴らしたくても、鳴らす音を受信させないといかんわな
受信させるためには、それ相応のコーデックを利用するアプリをバッファオーバーフローさせないといけない。
全く持って意味がないニュースだと思うんだが、何か意見があったら教えて欲しい。
7 ：: >>6
コーデックを走らせてるのはDirectXだと思う
8 ：: >>7
けどコーデックでできる事はタカが知れてる。
コーデックがDirectXを操作できるとでも？
コーデックがDirectX（ゲーム）に悪さしようとしても所詮ゲームだし、何もできない。
9 ：: SP2以前とはSP2を含むのか？
10 ：: 肝心の対策を見ようとしたら有料とな
11 ：: XPなら、カーネルと同じじゃないか。
12 ：: 相変わらず穴だらけのWindows（核爆）
13 ：: >>12
米Apple社が「最も脆弱性報告の多い企業」に
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。
14 ：: もう一回まとめるか
2007年、MacOS Xは234件の深刻な脆弱性を修正した。
新たなトロイの木馬も発見された。
http://slashdot.jp/apple/article.pl?sid=07/10/31/2138251
大きな感染は確認されなかった。
一方windowsでは
2007年、Windowsは23件の深刻な脆弱性を修正した。
2008年、89万4,250件の新種のマルウェアが発生した。
http://journal.mycom.co.jp/articles/2009/02/16/gdata2/index.html
2007年のウィルス感染は国内の報告数だけで6万3726件であった。
http://www.computerworld.jp/news/sec/93209.html
15 ：: >>14
そのコピペ、反論になってない事をそろそろ認めるべきだと思うよ。
16 ：: Macは脆弱性が多かった
　　　　↓
しかし被害は無いに等しかった
　　　　↓
しかもWindowsは大量のウイルスに感染していた
立派は反論だろバカドザにはそれがわからないんだよなwwwww
17 ：: >>16
Macは脆弱性が世界一多かった
　　　　↓
しかし被害は無いに等しかった
　　　　↓
しかし被害は無いに等しかったというのは嘘だった
急増するMacマルウェアへの注意喚起
http://ascii.jp/elem/000/000/618/618060/
>> ZDNetの推計では今月、60,000～125,000人のMacユーザーが
>> アップルのサポートに対してこのようなマルウェアについて問い
>> 合わせているとのことです。恐らく電話したのは感染者のごく
>> 一部であり、感染者数はこの数字よりも遥かに大きいことでしょう。
　　　　↓
事実がバレたので反論にならない。
18 ：: ドザの妄想wwww
19 ：: Macは安全なんて幻想に過ぎなかったわけだ。
20 ：: >>17
それMcAfeeの宣伝じゃんwwwwwwww
宣伝に踊らされてそれ以上のウイルス被害にさらされているバカドザ乙wwwwwwwwww
21 ：: 宣伝のために嘘を書いた場合、
今頃McAfeeはAppleに訴えられているはずだ。
ところがそんな事にはなっていない。
つまり、内容は事実。感染隠蔽は諦めろ。
22 ：: Mac向けを広めるのはシェアが少なくOSの更新が早いので成功しないが、
狙いを定めた時にはMacOSXの方が弱い。
23 ：: l3codecx.ax
で、対応ﾊﾞｰｼﾞｮﾝは？
24 ：: >>22
ttp://afi8.com/2011/05/24/3797/
Windowsの最強バージョンでもウイルスに感染するのは常識ｂ
25 ：: http://www.microsoft.com/japan/security/bulletins/ms10-026e.mspx
とうに修正済みの脆弱性なのに、対策をWeb非公開にして有料の登録をさせようとか
なんか胡散臭いサイトだなあ。
26 ：: 内容にかかわらず、対策情報は全部有料って事なんだろうね。
27 ：: 単にこのラックって会社が見つけ出せなかっただけだろw
28 ：: >>26
25のリンク先のどこを縦読みすると、そうなるんだ？
29 ：: 放置だな

30 ：: またか
31 ：: >>24
システムの復元で余裕で回復でした。
ウイルス対策ソフト使ってません。
この手のスパイウェア系の感染は大抵これで直ります。
ウイルス？　スパイウェアですよこれ。
32 ：: その頃AppleはMacDefenderの急激な感染拡大に右往左往していた
33 ：: ほら、Windows信者が必死に工作活動してるｗ
それも24時間営業ｗ
34 ：: >>33
キミも手を変え品を変え、大変だねぇ。
がんばってね！
35 ：: ほら、反論できずｗ
Windows信者が必死に工作活動してるｗ
それも24時間営業ｗ
36 ：: >>35
どのレスに対して反論してほしいんだい？
37 ：: >>1
まじか
38 ：: >>37
もう修正済みだってさ。いつの記事を元に書いてるんだよ。
http://www.microsoft.com/japan/security/bulletins/ms10-026e.mspx
39 ：: 未修正なんだが？
40 ：: 未修正のソースは？
41 ：: >>40
未修正情報
http://scan.netsecurity.ne.jp/archives/52007655.html
修正済みのソースは？
42 ：: 対策：
Windows上で、特定の音楽プレイヤーの利用によって問題は発生します。
・Quick Time 7 Player ※3
上記以外の音楽再生プレイヤーでの影響は発見されていません。
※3 Server Core インストールは、この脆弱性の影響を受けません。
43 ：: http://technet.microsoft.com/en-us/security/bulletin/MS10-026
This security update resolves a privately reported vulnerability in Microsoft MPEG Layer-3 audio codecs.
このセキュリティ問題に関する修正はアップデート済み。
44 ：: >>43
捏造するな
未修正情報
http://scan.netsecurity.ne.jp/archives/52007655.html
45 ：: わざわざ
> 5.対策
> （Web非公開）
> ※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。
なんて書かれてる所をわざわざ引っ張ってくるなんてご苦労様ですね
対策が公開されてるページを見せたら、修正されてることが誰の目にも明らかになっちゃうからなｗ
46 ：: >>45
捏造はすぐにバレるぞｗ
信者きしょいぞｗ
マイクロソフトは仕事しないんだよｗ
47 ：: ほら
ttp://sh4rk.6.ql.bz/?p=1399
対策はあえてここには引用しないよ
ちょっと長いからApple信者は途中で寝ちゃうかもねｗ
48 ：: ほら
未修正じゃんかｗ
ちゃんと読めよｗ
49 ：: >>48
http://technet.microsoft.com/ja-jp/security/bulletin/ms10-026
50 ：: >>49
個別の対応はそのページのダウンロードアイコンから修正できる。
ビスタ以降のOSは、サービスパックで対応済み。
51 ：: 脆弱性の放置といえばAppleだろ
52 ：: >>51
だからさ、何万回書き込んでも嘘は嘘のままだと一言っとろうが。
お前さ、3年近く工作続けてるだろ。
でも、一人も騙せてないよ。たった一人も。
53 ：: セキュリティの話題でアップル製品を持ち出すなんて普通じゃないよな
まともな専門家ならまずしないレベル
例えるなら自転車を車検に出すようなものだよ
どんな結果が出ようと、変わりなく公道を走り続けられるってことは馬鹿でも分かるだろ？
54 ：: >>52
悔しくてコピペしちゃったのかｗｗｗｗ
林檎信者は馬鹿しかいないなｗｗｗｗ
http://hibari.2ch.net/test/read.cgi/pcnews/1319291496/194-196
55 ：: 穴だらけのWindowsを喜んでつかっているMS信者そのものが脆弱wwwww
56 ：: >>55
米Apple社が「最も脆弱性報告の多い企業」に
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。
57 ：: 工作員ソース古いよ、何やってんの!
58 ：: >>57
【セキュリティ】Macを狙った新手のマルウェア、PDF装いバックドアを仕込む（11/09/27）
http://hibari.2ch.net/test/read.cgi/pcnews/1317132097/
59 ：: ドザの珍コピペ

60 ：: くやしぃのう。
61 ：: ドザの珍工作
62 ：11/11/05: 珍→真の間違いじゃね？
知らないは罪って言うでしょ
>>1
Fix済み
>>58
今年で、アップルからは情報公開なし？
ユーザーなめすぎじゃね