こんな情報知ってましたか？

当時は話が出ていましたが、最近まで忘れていました。最近、XPのPCに７をインストールしてこれにはガジェットでも入れてみるかなと見たら、そのメッセージが出て、そういえばあったなと思い出しました。 Fix itは出ていますが、現時点で有効な回避策がないというのは事実のようです。 ちょうど、Windows8が投入されたこともあり、開発（改善）を中止し、Windows8系のモダンアプリに開発を集中させる選択と集中に舵を切ったのでしょう。 http://support.microsoft.com/kb/2719662/ja http://blogs.technet.com/b/jpsecurity/archive/2012/07/11/3508379.aspx 調べた限りでは、ガジェットを制御するコアサービスに、マイクロソフトの開発者が予期しない特権処理（スーパーバイザー）を行う脆弱性があると思われます。そもそも、ガジェットは、他のWindowsシステムサービスとは独立して形成されていますから、その影響もあるのでしょう。ちなみに、既存のアプリでも情報を入力したり管理するものであったり、外部から情報を入手し実行するようなアプリだと危険な可能性があると思われます。 例えば、Webサイトから情報を集めるソフトなどは危険なアプリがあると思われます。 そうではなく、単にリソースメーターなどを使う程度なら、影響が生じる可能性は低いのかもしれません。要は、そのアプリがスタンドアロンで完結する情報に基づき動作するか、それとも外部からの情報で役立つ結果を表示するかによって、該当の特権を掌握するスクリプトコードが実行される危険性が変わると思われます。そこで、マイクロソフト社は、自社サイト提供を中止したと思われます。そして、入れようとしたときに、そのサイトから警告を表示する方法を選択したと思われます。（要は、当時の脆弱性においては自社のプリインストールに関しては安全性が確認できたと思われる。それがなければ、Windowsアップデートで強制的に排除するFix Itを適用するか、もっと強い警告を発するはずです。） こうすることで、脆弱性を悪用したアプリをダウンロードする機会をなくすことが出来ますので・・・ただ、問題が生じるとすれば、ガジェットの供給サイトは他にもありますから、そこで入手すると、悪用される恐れがあります。当初は中止し、徐々にフェードアウトさせる手段だったと思われますが、外部サイトでの供給が止まらないため、危険性をより強く表示する手段に変更したと考えられます。 もう既に時間がある程度経過しているため、必要性もさしてなく使うことがないならもう使わない方がよいと見るのが妥当です。ただ、必要性がどうしてもあるなら、今使っているものに関しては、供給元の信頼性などを鑑みて安全性を評価し、中止するか、使い続けるかを決めるのが良いでしょう。 まあ、今後改善の傾向が見られないなら、そろそろ時間的にも全体に情報がわたりつつあるとして、強制排除のツール提供を始めるかもしれません。経過措置の一つです。使わないひとは目にもしませんしスクリプトコードの実行には踏み台となるアプリが必要ですから、インストールしていないならサービスを上げていても問題はないと思われます。 最後に、では何故サービス停止のFix Itがあるかというと、大方ビジネス向け、システム管理者向けと思われます。悪意のあるユーザーが大規模な管理を行う環境でこれを使うと、情報の流出が膨大になる恐れがあります。そのため、サービス影響度を考えて、早急に停止する手段を素人管理者向けに供給したと思われます。まあ、私が管理してきた環境では、これは最初からポリシーで禁止していましたけど。 説明というのは難しいものです。絶対に危険なら、無効させるツールを危険度に応じて提供することでしょう。 しかし、危険度がコアサービスを直接（アプリ経由なしに）実行できるほどでなければ、その判断は利用者に委ねる必要があります。ただ、使う人の多くはプロではありません。だから、まずは危険性を分かる形で少し強く提供したと思われます。それぐらいのレベルだったということでしょう。 いかがでしょうか？