Notepad++の自動更新機能は、先日厳しい状況になっていました。
自動更新機能そのものが侵害され、悪意ある状態の配布物が公式の仕組みで配布されてしまうというものでした。
これはNotepad++の公式サイトの中の人たちだけでなく、多くの人を心配させる事態となりました。
そんな出来事のあったNotepad++なのですが、自動更新機能の仕組みを改善したというニュースが出てきました。
- 二重ロック設計
自動更新の侵害への対策として改善が実施された際には自動更新の機構を安心するための機構が1つだったのですが、そこに安全のための機構が追加実装されました。
2つの検証メカニズムを組み合わせることで、より堅牢で「事実上悪用不可能な」更新プロセスが実現するという作戦です。
現在、次の機構が有効です。- github.comからダウンロードした署名済みインストーラーの検証
これはNotepad++のv8.8.9で実装されました。 - notepad-plus-plus.orgから返される署名済みXMLの検証
これはNotepad++のv8.9.2で実装されました。
これは更新サービスから返されるXMLファイルがデジタル署名(XMLDSig)されていることを意味します。
- github.comからダウンロードした署名済みインストーラーの検証
- 更新機能を実現するソフトウェアそのものの改善
二重ロック設計の実装と同時に、更新機能を実現するソフトウェアそのものの改善も実施されました。
改善は3つです。- DLLサイドローディングのリスクを排除するために依存関係からlibcurl.dllを削除
- 2つの安全でないcURL SSLオプションを削除
CURLSSLOPT_ALLOW_BEAST& CURLSSLOPT_NO_REVOKE - プラグイン管理の実行を更新機能を実現するソフトウェアと同じ証明書で署名されたプログラムに制限
脅威活動と防御活動はいつもイタチごっこです。
今回の一連の事例では、脅威側がまず先行し、防御側が対策を実施し、防御側が追加対策を実施する、という流れとなりました。
現時点ではこの事例では防御側が優勢な状況となったという感じでしょうか。
身の回りには多くのシステムやソフトウェアがあります。
これらのすべてで常に防御側が優勢な状態でいられるということは期待が難しいものです。
多くの事柄は広い視点で見るといずれ提供側の仕組みで対策が提供されるとも考えられますが、それはだれかの犠牲の上に成り立っているというケースも少なくありません。
その一人とならないようにするのは、自分自身が注意して活動するということ以外にはないように思えます。
気持ちを引き締めていきましょう。
Notepad++ v8.9.2 release – Double‑Lock Update Security
https://notepad-plus-plus.org/news/v892-released/
| この記事をシェア |
|
|---|
