パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows版の「Apple Software Update」ツールに脆弱性」記事へのコメント

  • by Anonymous Coward on 2019年10月16日 16時22分 (#3701870)

    バグや脆弱性のないソフトなんてないね。
    OSもアプリもみな。所詮人間が作ったもの。

    • Re:もはや… (スコア:2, 参考になる)

      by Anonymous Coward on 2019年10月16日 20時23分 (#3702022)

      ただ、この問題に限れば避けられたんじゃないかと思うんだけどな。
      この仕様見た瞬間、これ危なくね?って思うじゃん?
      https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/n... [microsoft.com]
      > For example, consider the string "c:\program files\sub dir\program name".
      > This string can be interpreted in a number of ways.
      > The system tries to interpret the possibilities in the following order:
      > c:\program.exe
      > c:\program files\sub.exe
      > c:\program files\sub dir\program.exe
      > c:\program files\sub dir\program name.exe

      親コメント
      • by Anonymous Coward

        スペース含んだパスなど認めん!MSが折れて直すまで叩き続ける!な人居るからね。

        この異常なまでの攻撃性はなんなんだろうか…

        • by Anonymous Coward

          MSが折れてWinodwsで使えなくなっても、Linux系というか、Linuxが主流になる以前から Unixの世界では普通に使われてるもんだからなぁ。

          • by Anonymous Coward
            exec(3)のpath引数はこんな気違いじみた仕様にはなってないからなぁ
            • by Anonymous Coward

              pathがNULLなら、という特殊ケースでの動作説明だし
              解釈はsystemと大して変わらんだろ

          • by Anonymous Coward

            そうなんですけどね、、徹底して叩くのもUnix信者という…
            #そんなのお前だけの常識扱い

      • by Anonymous Coward
        MSのエンジニアも自分でこのAPI仕様を書いたとき危なくね?って思わなかったんだろうか。
    • by upken (38225) on 2019年10月17日 14時21分 (#3702414)

      3つ問題点があると思う。
      1.プログラム言語の文字列表現とコマンドラインともにダブルクォーテーションで囲む仕様になっている点。
       どちらかが違う表記になっていたら問題に遭遇する可能性が減ったのではないか

      2.コマンドラインが、実行プログラムと引数を正確に区別できない点。
       もはや脆弱性扱いで良いのではないか

      3.実行ファイルの拡張子を省略できる仕様
       今更変えられないので別のシェルを作ったほうがいいのでは

      親コメント
    • by Anonymous Coward

      なんで当たり前のことを今更言ってるの……?

      • Re:もはや… (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2019年10月16日 19時09分 (#3701998)

        MSの不具合の場合には親の敵みたいに責められます。

        親コメント
        • by Anonymous Coward

          ・Appleの話題なのに誰も言及していないMicrosoftについて語り始める、構ってちゃん。偏執的な人物像。
          ・話題を深めないコメントがほとんど。投稿者は知的な対話を求めていない。投稿のためにサイトを訪問している。
          ・オフトピになるどころか、おもしろおかしいが付く。組織的な関与が疑われる。
          ・スラド全般にわたって、Microsoftに関してのみに偏って、上記傾向が見られる。

          上記心理学的・社会学的傾向から、ここは健全なコミュニティではなく、「コントロールされたコミュニティ」ですね。
          普通のMicrosoftユーザーから見ると、ここは異常者の集団にしか見えず、Microsoftに対する激しい不信感を抱きます。

    • by Anonymous Coward

      もはやでもなんでもなく、バグも脆弱性も以前からそれなりあったが。

    • by Anonymous Coward

      テストはしてほしいよね。
      「引用符で囲まれていないパス」なんて、結構恥ずかしいバグだと思うんだが・・・。
      テストケースの蓄積って活用されてないんかね。

      • Re:もはや… (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2019年10月16日 19時59分 (#3702010)

        Appleみたいな世界トップの企業がやらかすバグじゃないよね、もう狙ってやってるんじゃないかな。
        「macでは問題ないのにwindowsだとこれだよ。windowsはクソ糞kuso!!!」

        親コメント
        • Re:もはや… (スコア:3, すばらしい洞察)

          by Anonymous Coward on 2019年10月16日 21時29分 (#3702066)

          Apple製品にセキュリティを求めるのが間違っている

          親コメント
        • by Anonymous Coward

          中国製品のバックドアの噂よりは確実にやってる。

        • by Anonymous Coward

          いかにもAppleがやらかしそうなバグじゃない。

        • by Anonymous Coward

          普通なら荒らしになる、Fワードを含む投稿に「おもしろおかしい」が付くんですね。
          Microsoftの話題だと、マイナスになるどころか、ほぼ毎回、プラスになっている。運営が関与しているのはほぼ確実ですね(#3703267 [srad.jp])。
          中国並みに統制された、気持ち悪いコミュニティ。

          広告費のためですか。そーですか。
          でも、ステマ・言論の誘導は、はっきり言って、悪質です。
          米国選挙での誘導も、ロシアを経由してMicrosoftがやってたんじゃねーの?

      • by Anonymous Coward on 2019年10月16日 20時31分 (#3702023)

        コマンドラインパラメータのパス指定周りは魔窟。中身も見ずに恥ずかしいなんて言えない。

        親コメント
      • by Anonymous Coward

        アップルではエクセルを活用できないので。

      • by Anonymous Coward

        Appleにテスト品質を求めるのが間違い。
        macOSも恥ずかしい脆弱性ばかり出してるじゃないか。

    • by Anonymous Coward

      脆弱性自体は引用符忘れという結構ありがちな内容。普通なら見つかったところでニュースにはならない。

      どこにニュースバリューがあるかというと、それを悪用した標的型攻撃がセキュリティ企業によって確認されたということ。

    • by Anonymous Coward

      最早も何も、Apple製のソフト、それもWindows向けの品質の低さと来たら昔から酷いモノだったろうに。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...