facebook twitter hatena line google mixi email
★お気に入り追加


■ このスレッドは過去ログ倉庫に格納されています

  • 1
  •  
  • 2016/10/19(水) 17:51:04.10

脆弱性対策情報ポータルサイト“JVN”は18日、国税庁が提供する“e-Tax”ソフトのインストーラーに脆弱性が存在することを明らかにした。
現在、国税庁は同ソフトの公開を中止している。

“JVN”の脆弱性レポート(JVN#63012325)によると、“e-Tax”ソフトのインストーラーにはパスを検索する処理に不備があり、意図しないDLLを読み込んでしまう脆弱性が存在するという。
攻撃者の意図する場所へ細工されたDLLファイルが何らかの方法で配置されている場合に、インストーラーを実行しているプロセスの権限で任意のコードを実行される恐れがある。
脆弱性の評価は“CVSS v3”で基本値が“7.8”、“CVSS v2”で基本値が“6.8”となっている。

10月18日現在、本脆弱性への対策は存在しない。
そのため“e-Tax”ソフトを新規にインストールしないこと、インストーラーをローカルに保存している場合は削除することが推奨されている。

なお、本脆弱性の影響を受けるのはインストーラーを起動したときのみ。
すでにインストール済みの“e-Tax”ソフトをアップデートせず、そのままの状態で利用する分には問題ない。
http://forest.watch.impress.co.jp/docs/news/1025679.html

ここまで見た
  • 115
  •  
  • 2016/10/19(水) 20:55:05.06
2007年、たぶん最初に導入された年だけ使ったけど今はPDFだけWeb上で生成して郵送で出してる
よくわからんIDやら複数作らされる糞システムという印象しか無かったけどセキュリティまで駄目とか
ヤフーか楽天にでも作ってもらった方がまだましだろ

ここまで見た
  • 116
  •  
  • 2016/10/19(水) 20:56:42.32
etaxの識別番号と暗証番号の取得も滅茶苦茶ずさんな印象があるなあ

ここまで見た
  • 117
  •  
  • 2016/10/19(水) 20:57:20.98
>>攻撃者の意図する場所へ細工されたDLLファイルが何らかの方法で配置されている場合に、

煽るのもいいかげんにしろよ
このケースはかなりのレアケース。細工されたDLLファイルを配置されるってことはすでにほかの脆弱性がないといけない
こんな状況を想定するなんてばかげてる
脆弱性なんてないに等しいだろ

ここまで見た
  • 118
  •  
  • 2016/10/19(水) 20:57:27.99
>>115
ふるさと納税は既に可能だけど、所得税もポイントで払えますってなるならそれでいいな

ここまで見た
  • 119
  •  
  • 2016/10/19(水) 20:59:19.53
ブラウザの確定申告も、よし覚えた!来年向けて迷ったところメモしとこ。
来年になるとフォーマット変わってるやん、ってのが繰り返し。ちゃんと入れないと控除されないとかあるしな。

アメとかは底辺も確定申告だろうけどもっといいのあんのでは?

ここまで見た
  • 120
  •  
  • 2016/10/19(水) 21:00:41.62
今年の確定申告からマイナンバーが必要になるから
e-Tax死んだら本人確認の書類添付する必要あるから
税務署死ぬわ

ここまで見た
  • 121
  •  
  • 2016/10/19(水) 21:01:34.38
> すでにインストール済みの“e-Tax”ソフトをアップデートせず、そのままの状態で利用する分には問題ない


すでに任意のコードを実行されてるかもしれないのに問題ないだと

ここまで見た
  • 122
  •  
  • 2016/10/19(水) 21:02:24.71
こりゃ酷い

ここまで見た
  • 123
  •  
  • 2016/10/19(水) 21:07:10.90
TCAS

ここまで見た
  • 124
  •  
  • 2016/10/19(水) 21:19:47.29
よくわからんが悪意のあるDLLを配置されてる時点で脆弱性もクソもないんじゃないの?

ここまで見た
  • 125
  •  
  • 2016/10/19(水) 21:23:08.99
この国の役人は本当にクズ
クズだから役人になるレベル

ここまで見た
  • 126
  •  
  • 2016/10/19(水) 21:27:48.82
相対パスじゃなくて絶対パスで記述しろとか退化してるような気がするがインストーラーの権限で実行されるのが問題なんだろうな
でもやっぱ前提条件がアホ過ぎると思う

ここまで見た
  • 127
  •  
  • 2016/10/19(水) 21:31:17.71
なんでこんなに無能なんだろうな
日本の優秀な人はどこにいくの?

ここまで見た
  • 128
  •  
  • 2016/10/19(水) 21:37:36.84
>>127
多分死んだか日本を出て行ってる

ここまで見た
  • 129
  •  
  • 2016/10/19(水) 21:40:32.54
この規模の案件受注したらウチの営業ならインセンティブでうはうはだわ
PMはやりたくないけど

ここまで見た
  • 130
  •  
  • 2016/10/19(水) 21:42:23.96
ああ、やっぱり
脆弱性あると思っていた

ここまで見た
  • 131
  •  
  • 2016/10/19(水) 21:43:27.86
いいよなあ上流ベンダーは
なにやってもつぶれないし、言い値で仕事取れるんだから

ここまで見た
  • 132
  •  
  • 2016/10/19(水) 21:44:51.62
500億もかけて作ったと思えないクソノカタマリ

ここまで見た
  • 133
  •  
  • 2016/10/19(水) 21:47:09.30
作り直しでまた予算を余計に請求できるね

ここまで見た
  • 134
  •  
  • 2016/10/19(水) 21:47:34.53
NTTの無能っぷりがヤバイな

ここまで見た
  • 135
  •  
  • 2016/10/19(水) 21:49:35.56
維持で90億もかかるもんなん?

ここまで見た
  • 136
  •  
  • 2016/10/19(水) 21:51:12.23
こういうシステムは中抜き禁止にした方が良い

ここまで見た
  • 137
  •  
  • 2016/10/19(水) 21:52:03.99
>>124
それもそうだけどもまあソフト内から意図しない実行ファイルが動かせるってまあまあキツイ内容とは思う

ここまで見た
  • 138
  •  
  • 2016/10/19(水) 21:53:26.85
>>79
金融とかも手数料はねてたらいいんだろうけど
ソフトウェアみたいな知性が問われる分野はだめね

ここまで見た
  • 139
  •  
  • 2016/10/19(水) 21:53:58.78
>>102
なおさらNTTデータは死んどけ

ここまで見た
  • 140
  •  
  • 2016/10/19(水) 21:54:35.09
なんで派遣会社って規制されないんだ?

ここまで見た
  • 141
  •  
  • 2016/10/19(水) 21:57:06.01
>>140
国際比較みたらわかる
日本人は合法的な奴隷が欲しかっただけだった
普通のプロパーですら奴隷を飼ってるんだという認識で驚愕したわ

ここまで見た
  • 142
  •  
  • 2016/10/19(水) 22:03:35.44
e-taxって専用のカードリーダーないと使えないらしくて諦めた
今でもそうなのかな
お役所仕事は糞だわ

ここまで見た
  • 143
  •  
  • 2016/10/19(水) 22:08:46.28
TeX専用エディター使うよりも汎用エディターをカスタマイズしたほうがずっと便利だよね。
なぜ専用エディターは細かいところで残念なのか。

ここまで見た
  • 144
  •  
  • 2016/10/19(水) 22:22:29.65
市販の会計ソフトつこたらええんやろ

ここまで見た
  • 145
  •  
  • 2016/10/19(水) 22:31:49.92
>>2
実は500億円使いきってないってことでしょw見積もりと領収書全部調べ返せ

ここまで見た
  • 146
  •  
  • 2016/10/19(水) 22:32:07.95
> 開発費用は約500億円、年間維持費は約90億とされる。
> システムの開発および運用保守は、随意契約によりNTTデータが行っている。

あの無茶苦茶わかりにくいものに、こんな金かかってるのか
どう考えても赤字だろ
あれ大抵のものがまともに申告されないレベルだぞ

ここまで見た
  • 147
  •  
  • 2016/10/19(水) 22:35:06.96
脆弱性なんか見つかって当たり前だということがわからないケンモミン

ここまで見た
  • 148
  •  
  • 2016/10/19(水) 22:36:24.47
>>62
仲間やな
データの課長代理無能多すぎじゃぼけ

ここまで見た
  • 149
  •  
  • 2016/10/19(水) 22:37:06.39
>>147
対策ソフトなかったら使い物にならないだろ

ここまで見た
  • 150
  •  
  • 2016/10/19(水) 22:37:26.36
これでもましなほうなんだよな
特許庁のプロジェクトもそうだけど役所が絡むシステムは意味不明な規則や遵守しないといけないルールが多すぎてNTTデータ以外は最低限動くまで作り上げることすらできない

ここまで見た
  • 151
  •  
  • 2016/10/19(水) 22:39:39.55
e-taxのために住基ネットカード作ったのに
マイナンバーカードにしろって地方公共団体情報システム機構から葉書が来たわ
マイナンバーカードの申請も証明写真の画像データあればWEBからできたんだな
仕方ないから日曜に申請した

ここまで見た
  • 152
  •  
  • 2016/10/19(水) 22:48:10.81
>>2
随契でこのざまかよ
入札で弱小が取っちゃったとかなら同情するが

ここまで見た
  • 153
  •  
  • 2016/10/19(水) 22:51:59.85
これがアホ民族が作るアホの国の姿ですわ

ここまで見た
  • 154
  •  
  • 2016/10/19(水) 22:52:18.52
>>150
> 意味不明な規則や遵守しないといけないルールが多すぎて

それ全部法律なんだよな
役所では変えられない、国会じゃないと

役所のシステム開発って
本来は政治が主導すべきなんだよな
役所は法律を変えられないから
不合理でもどうすることもできない

ここまで見た
  • 155
  •  
  • 2016/10/19(水) 22:55:51.49
>>117
気付かれずにファイルをダウンロードさせるのは実行させるより格段に簡単だろ

ここまで見た
  • 156
  •  
  • 2016/10/19(水) 23:04:48.27
>>82
むしろ「巨人の肩に乗る」がいちばん活きる分野じゃないのか?

ここまで見た
  • 157
  •  
  • 2016/10/19(水) 23:09:34.70
欧米人は言語性IQが高く思考力や言語能力が問われるITが強い
日本人は動作性IQが高く運動会の組み体操やアニメーターみたいな手を動かす仕事が向いてると聞いたな

ここまで見た
  • 158
  •  
  • 2016/10/19(水) 23:11:22.29
>>142
電子署名をするものとほぼ同じなんだが、ごく一部の職業の人や会社経営者でもない限り個人で使うということがほぼない。
会社もほとんどNTTかSONYの二択だし。

ここまで見た
  • 159
  •  
  • 2016/10/19(水) 23:17:30.13
>>94
スクリーンリーダー対応とかは気にするのにおかしいよな

ここまで見た
  • 160
  •  
  • 2016/10/19(水) 23:22:56.86
就活でNTTデータを志望する学生ってどんなんなの?

ここまで見た
  • 161
  • 日本人の性欲は異'常
  • 2016/10/19(水) 23:23:52.75
日本、無能w

ここまで見た
  • 162
  •  
  • 2016/10/19(水) 23:26:03.54
脆弱ゥ、脆弱ゥゥゥゥゥゥ!!

ここまで見た
  • 163
  •  
  • 2016/10/19(水) 23:34:39.28
>>8
400億ほどが大企業と政治家の利権

ここまで見た
  • 164
  •  
  • 2016/10/19(水) 23:35:47.26
マイナンバー、住基ネットと公共事業だから…

ここまで見た
  • 165
  •  
  • 2016/10/19(水) 23:39:21.07
親のe-Tax確定申告手伝ったんだけど、
サイトの最後の最後で送信ボタンがEdgeでは表示されずやり直し喰らった…
全く大金血税使って遷移や説明分かりずらいし酷い仕事だよ

ここまで見た
  • 166
  •  
  • 2016/10/19(水) 23:39:32.98
>>79
製造業は分解して猿真似でパクれるけど
システムは分解できないからね、見た目だけはパクれるけど中身はゴミwww

お絵かきランド
フリックゾンビ
ここまで見た

★お気に入り追加

このページを共有する
facebook twitter hatena line google mixi email
おすすめワード