これが、JVN のサイトで見つけた警告情報です。
実際に攻撃される可能性が低いので、セキュリティ更新プログラムによる対策はしないそうです。
でも??? 絶対に攻撃されないわけではないので、下の方に書いてある対策方法(赤枠)をとるようにとのことです。
ポイントは、新たにインストールする際に、インストーラープログラムは新たに作成したディレクトリに保存する、ということです。。。
要はダウンロードしたフォルダーには、怪しいプログラムが紛れ込んでいることがあるため、ということだと思います。
私のメインマシンでは、以下のように沢山の VisualC++ がインストールしてあります。
これだけ多くのバージョンがインストール済なので、新たにインストールすることは無さそうですが、もし再インストールする場合は、十分注意しておこうと思います。
本件に伴い、マイクロソフトはどんな考え方・基準で、 DLL に関する脆弱性対策をするのか・しないのか、決めるのかについて調べてみたところ、TechNet のサイトに「DLL の植え付けの脆弱性のトリアージ」というタイトルの記述があり、なんとなく??? わかりました。(個人的に、納得はできませんが、、、)
以下、抜粋です。。。
<全く対策しない場合>
・PATH ディレクトリに関連する脆弱性
<今後リリースされる将来のバージョンのみ、対策する場合(本事案と同じケース)>
・アプリケーションディレクトリに関連する脆弱性
<緊急度の高い重要な問題として、セキュリティ更新プログラムを公開する場合>
・作業ディレクトリに関連する脆弱性
実際に攻撃される可能性が低いので、セキュリティ更新プログラムによる対策はしないそうです。
でも??? 絶対に攻撃されないわけではないので、下の方に書いてある対策方法(赤枠)をとるようにとのことです。
ポイントは、新たにインストールする際に、インストーラープログラムは新たに作成したディレクトリに保存する、ということです。。。
要はダウンロードしたフォルダーには、怪しいプログラムが紛れ込んでいることがあるため、ということだと思います。
私のメインマシンでは、以下のように沢山の VisualC++ がインストールしてあります。
これだけ多くのバージョンがインストール済なので、新たにインストールすることは無さそうですが、もし再インストールする場合は、十分注意しておこうと思います。
本件に伴い、マイクロソフトはどんな考え方・基準で、 DLL に関する脆弱性対策をするのか・しないのか、決めるのかについて調べてみたところ、TechNet のサイトに「DLL の植え付けの脆弱性のトリアージ」というタイトルの記述があり、なんとなく??? わかりました。(個人的に、納得はできませんが、、、)
以下、抜粋です。。。
<全く対策しない場合>
・PATH ディレクトリに関連する脆弱性
<今後リリースされる将来のバージョンのみ、対策する場合(本事案と同じケース)>
・アプリケーションディレクトリに関連する脆弱性
<緊急度の高い重要な問題として、セキュリティ更新プログラムを公開する場合>
・作業ディレクトリに関連する脆弱性
アクセス
トータル
ランキング
私のPCにはVisual C++は2008と2017しか入れていません。
ソフトウェアを制作するためにVisual Studioを入れていますが、それで利用するためだけなので私の場合はそれで問題ありません。
多くのバージョンを入れられてますが、必要ないものがあればアンインストールされてもいいのではと思います。
話は変わりますが、ソフトウェアを制作する際にVisual C++が必要ないようにすることもできます。これはVisual Studioで制作していれば、設定を変更するだけでできます。
ただし、必要なものをソフトウェアに埋め込むことになるので、ファイルサイズが大きくなりますし、脆弱性があればソフトウェアをコンパイルし直す必要があるなどの問題があります。
Visual Studio の古いバージョンをインストールした時のものが残っていると思われます。
現在インストールしてある Visual Studio 2017 にどれが必要で、どれが不要か調べていませんが、、とりあえず、一番古い 2005 を削除してみようと思います。