2018年03月22日

今のところ脆弱性報告は来ていないけど、でもなんで来ていないのか考えてみる

老舗フリーソフトの脆弱性の話を、先週のブログで書きまして。

そういえば最後の方に書いた「当サイトで公開しているソフトでも、いじくるつくーるは、すでに開発終了を宣言していますし、DLLを他所から読み込む機能がありますし、管理者権限で起動することが大前提になっているツールですので、脆弱性発見の報とか来たら、速攻で公開終了になると考えています。」について。自分で書いておいて、ちょっと気になりました。

DLLを他所から読み込む機能がありますし、管理者権限で起動することが大前提になっているツールですが、このソフトって、そういう脆弱性があるという判断にはならないんですかね?

正直なところ、僕自身は脆弱性界隈の話は専門ではありません。
脆弱性が完全に無いことを保証したプログラミングは、できている自信はありません。
どこがどうなったら脆弱性アリと判断されて、報告を受けることになるのか?よくわかっていません。

ですが、今のところそういった報告は受けていません。
これはなぜなのか…?

よく聞く話では、インストーラのプログラムなんかだと、「Windowsアプリとして標準で読み込もうとするDLLと同名のDLL」がカレントディレクトリに置いてあると、そっちを読み込んでしまって、セキュリティ上の脅威になるというもの。

ダウンロードディレクトリは、その中にダウンロードされる多くのプログラムファイルで共有される場所になっていることもあり、悪意のあるDLLがダウンロードディレクトリに配置されると大ピンチになるのだとか。

いじくるつくーるが採用している Inno Setupは大丈夫だろうか?

いじくるつくーる自身も、ユーザーが独自製作したrsc(スクリプトファイル)やDLLを読み込む仕掛けを持っているので、そこら辺の動きはかなり『柔軟』です。柔軟ということは、そういった脅威が入り込む余地が大きいはず。実際のところ、どうなっているんだろう。

ですが、今のところそういった報告は受けていません。
これはなぜなのか…?

原因は2つ、考えられます。

  • 実は、今のところ知られている脆弱性が存在していないプログラムが、偶然にも作れてしまっている
  • 「いじくるつくーる」や「すっきり!! デフラグ」を始めとするフリーソフトは、作者自身が有名作だと勘違いしているだけで、実は、セキュリティの専門家から箸にも棒にも引っかからないノラプログラムだと認識されており、というか知名度が低く存在が認識されていないので、セキュリティの検査を誰もやってくれていない

どっちでしょう。
実は後者なんじゃないだろうか。

posted by ayacy at 00:00 | Comment(0) | TrackBack(0) | フリーソフト