Monday | August 25, 2008

ダイアログの色や種類、一見安全そうに見える発行者名に騙されてはいけない。




ユーザの実行権限を柔軟に割り当てるsudoのリスクとメリット

例えば「sudo less」を実行できるユーザが!コマンドを使うと、その他のコマンドをroot権限で実行可能となってしまう場合がある

・・・というのと同様のリスクが、例えばコマンドプロンプトで生じ得る。なぜなら、コマンドプロンプトは任意のプログラムを実行可能であり、一度付与された権限トークンはフォークされたプロセスに対しても継承されるからである。

つまり、非署名の実行ファイルであっても、「Windows コマンド プロセッサ ／ Microsoft Windows」の名を騙って権限を昇格し（この時のダイアログの色は青; 上図参照）、管理者特権を必要とするコードを実行可能である、ということだ。同様に、任意の外部実行ファイルを（親-子の関係で）起動できる署名済みアプリケーションには注意を払う必要があろう。