PIB

• SECLISTS.ORG / Bugtraq / 2016-02-26: Executable installers are vulnerable^WEVIL (case 27): Cygwin's installers allow arbitrary (remote) code execution WITH escalation of privilege
• SecurityFocus / BugTraq / 2016-02-26: Executable installers are vulnerable^WEVIL (case 27): Cygwin's installers allow arbitrary (remote) code execution WITH escalation of privilege
• CRITICAL WATCH / 2016-02-26: Cygwin - Multiple Issues
• Packet Storm / 2016-02-26: Cygwin DLL Hijacking

あまり危険視してなかったんだけど、Windows 10 の標準ブラウザである Microsoft Edge の挙動を見て猛烈に認識を改めた。
まず web ページでダウンロード対象のファイルに飛ばされると、
Microsoft Edge はファイルのダウンロード時に確認ダイアログを出さず、黙って %USERPROFILE%\Downloads にダウンロードしてしまう。
つまり、ブラウザのデフォルトの挙動のせいでダウンロードフォルダーに UXTheme.dll を
気付かないうちにダウンロードされている可能性がある。
少なくとも IE, Firefox はダウンロード前に、確認のダイアログを表示してくれるので一段階安全性は高いはずだが、
なんと Google Chrome は Microsoft Edge と同様に黙っていきなりダウンロードしてしまうようだ。
これは完全に盲点だった。
カレントディレクトリの DLL 読んでしまうソフトは非常に危険だ。
Microsoft Edge と Google Chrome は可及的速やかに仕様を変更すべきだろう。

また、本日たまたま知人の PC を見る機会があったんだけど、
%APPDATA%\Temp にある .scr 拡張子のファイルを F-Secure が ransomware として検出してるの目の当たりにしてしまった。
本人はダウンロードした記憶はないと言っていたので、
どうやって拾って来たのか疑問に思っていたのだが、
これもひょっとすると Java とかの脆弱性を利用されたんじゃなくてブラウザのデフォルトの挙動で
しれっと黙って拾って来られているのかもしれない。

あと、日常的に心がける点として、

• ダウンロードしてきたファイルをウイルススキャンしても、同じフォルダ内に汚染された DLL があると危険であるから、ダウンロードしてきたファイルだけではなく、ダウンロードフォルダ全体をウイルススキャンする
• ダウンロードしてきた実行ファイルを実行する際はダウンロードフォルダ内で直接実行するのではなく、新規にフォルダを作成することでフォルダ内に他のファイルが一切ない状態にしてから実行する

等の習慣が意外と重要かもしれない。

さて、上記報告は

2016-02-26    report published
              Cygwin is obviously neither interested in communication
              nor willing to fix their vulnerable installer!

って締め括られてるんだけど、これ修正されてるんだろうか？
Cygwin ML の thread は以下かな？

• Cygwin ML / 2016-01 / Re: [PWNED/DOSSED] Cygwin's setup-x86.exe loads and executes rogue DLL from its application directory, Stefan Kanthak