INASOFT 管理人のひとこと


フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
本業の方のお仕事が再び忙しくなりつつあるので、断続的にしばらく更新が止まることがあります。

目次 | ←前へ / 2018-03-22 00:00 / 次へ→ / 最新へ⇒

■今のところ脆弱性報告は来ていないけど、でもなんで来ていないのか考えてみる

2018/ 3/22 0:00:00


RSSRSS配信中

https://www.inasoft.org/








老舗フリーソフトの脆弱性の話を、先週のブログで書きまして。

そういえば最後の方に書いた「当サイトで公開しているソフトでも、いじくるつくーるは、すでに開発終了を宣言していますし、DLLを他所から読み込む機能がありますし、管理者権限で起動することが大前提になっているツールですので、脆弱性発見の報とか来たら、速攻で公開終了になると考えています。」について。自分で書いておいて、ちょっと気になりました。

DLLを他所から読み込む機能がありますし、管理者権限で起動することが大前提になっているツールですが、このソフトって、そういう脆弱性があるという判断にはならないんですかね?

正直なところ、僕自身は脆弱性界隈の話は専門ではありません。

脆弱性が完全に無いことを保証したプログラミングは、できている自信はありません。

どこがどうなったら脆弱性アリと判断されて、報告を受けることになるのか?よくわかっていません。

ですが、今のところそういった報告は受けていません。

これはなぜなのか…?

よく聞く話では、インストーラのプログラムなんかだと、「Windowsアプリとして標準で読み込もうとするDLLと同名のDLL」がカレントディレクトリに置いてあると、そっちを読み込んでしまって、セキュリティ上の脅威になるというもの。

ダウンロードディレクトリは、その中にダウンロードされる多くのプログラムファイルで共有される場所になっていることもあり、悪意のあるDLLがダウンロードディレクトリに配置されると大ピンチになるのだとか。

いじくるつくーるが採用している Inno Setupは大丈夫だろうか?

いじくるつくーる自身も、ユーザーが独自製作したrsc(スクリプトファイル)やDLLを読み込む仕掛けを持っているので、そこら辺の動きはかなり『柔軟』です。柔軟ということは、そういった脅威が入り込む余地が大きいはず。実際のところ、どうなっているんだろう。

ですが、今のところそういった報告は受けていません。

これはなぜなのか…?

原因は2つ、考えられます。

  • 実は、今のところ知られている脆弱性が存在していないプログラムが、偶然にも作れてしまっている
  • 「いじくるつくーる」や「すっきり!! デフラグ」を始めとするフリーソフトは、作者自身が有名作だと勘違いしているだけで、実は、セキュリティの専門家から箸にも棒にも引っかからないノラプログラムだと認識されており、というか知名度が低く存在が認識されていないので、セキュリティの検査を誰もやってくれていない
どっちでしょう。

実は後者なんじゃないだろうか。





目次 | ←前へ / 2018-03-22 00:00 / 次へ→ / 最新へ⇒


目次の表示:


ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメールフィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。本ページは公開から1年半後の任意のタイミングで削除される予定です。




2557791 (+0069)[+0533]

Copyright© 2010-2021 INASOFT