ちゃっぴの監禁部屋

Flash Player 10.3, IE9, Intel HD Graphic での bug に関する Adobe からの情報

ちゃっぴ (tyappi@wankuma.com) — Thu, 19 May 2011 01:48:00 GMT

「IE9 上の Flash Player 10.3.181.14 で Flash contents が左上に表示される」、「IE9 Flash Player rendering 問題はIntel HD Graphics driver が原因」で書いた不具合の件について Adobe から案内がありました。

Reported issues with Flash Player 10.3 and Internet Explorer 9 - Adobe AIR and Adobe Flash Player Team Blog
Troubleshoot, report Flash Player video playback issues

内容としてはこれまで書いてきたことの踏襲ですね。

発生する条件は下記を満たす環境。

Internet Explorer 9
Flash Player 10.3
Intel HD Graphics

で、解決策としては下記。

Intel HD Graphics を 8.15.10.2361 以降に update
IE9 の hardware acceleration を無効化
別の Web blowser (Firefox, Chrome, Safari, Opera, etc) の利用
手動で uninstall し、Flash Player 10.2 に戻す (Security と安定性のため最新版を利用することを推奨)

今回の問題の一因として　Flash Player 10.2 以降で support された hardware acceleration が GPU の bug により挙動が安定していないことがあげられます。

まあ、もっとも 10.2 で問題無く 10.3 で問題が生じたわけだから 10.3 で新たに利用した GPU の機能に bug があったのでしょう。ちゃんと test を行えば把握可能だったと思われます。Intel HD Graphics なんてそれこそ普通に利用されているわけで。

Adobe は結構 GPU の bug に悩まされているようで、動画再生とかで問題があった場合には下記 link 先の手順に従って feedback を求めているようです。

Troubleshoot, report Flash Player video playback issues

現在既知の解決策が存在しない問題が生じていて、上記を読んでわかる方は feedback してみると良いかも。

5/21 追記 Adoobe の knowledge base からも情報が公開されました。 Reported issues with Flash Player 10.3 and Internet Explorer 9

Intel HD Graphics driver の手動更新方法

ちゃっぴ (tyappi@wankuma.com) — Sun, 15 May 2011 20:26:00 GMT

「IE9 上の Flash Player 10.3.181.14 で Flash contents が左上に表示される」、「IE9 Flash Player rendering 問題はIntel HD Graphics driver が原因」の続き。

Intel HD Graphics を利用してもメーカー製 PC を利用していると Intel が直接提供している driver を普通の方法では install できない場合があります。これは PC 製造元が hardware や software に customize を施している場合があり、製造元が提供しない driver を利用しない場合、不具合や場合によっては動作しないこともあるからです。

本来は PC 製造元から提供される driver を利用すべきですが、製造元から提供された driver を利用しないことでの不具合を許容できるという方向けに Intel HD Graphics driver の手動更新方法を示します。

Intel Web site より zip 圧縮された driver を downloadする
- IntelR Graphics Media Accelerator Driver for Windows 7*, Windows Vista* (zip)
- IntelR Graphics Media Accelerator Driver for Windows 7* 64, Windows Vista* 64 (zip)
任意の folder に donwload した zip file の内容を展開する
Streams 等の tool を使って file の Zone ID 除去する

Streams を利用する場合下記 command を実行します。

streams -s -d "展開先"

これを実行しないと毎回警告 dialogが表示されます。
Device Manager から driver を手動更新 (x64)
1. [コンピューターの管理] を起動し [デバイスマネージャー] [ディスプレイアダプター] - [Intel(R) HD Graphics] を選択し「ドライバーソフトウェアの更新」を実行します。
2. 「コンピューターを参照してドライバーソフトウェアを検索します」を選択します。
3. 「コンピューター上のデバイスドライバーの一覧から選択します」を選択します。
4. <ディスク使用> を選択します。
5. <参照> を選択します。
6. 展開先の Graphics folder に存在する "igdlh64.inf" を選択します。
7. <OK> を選択します。
8. <次へ> を選択します。
9. Install 中
10. Install 終了
11. OS 再起動
12. 更新後

以上です。

IE9 Flash Player rendering 問題はIntel HD Graphics driver が原因

ちゃっぴ (tyappi@wankuma.com) — Sun, 15 May 2011 18:17:00 GMT

「IE9 上の Flash Player 10.3.181.14 で Flash contents が左上に表示される」の続報です。

その後いろいろ調査してみたところ、この問題の根本原因はどうやら Intel HD Graphics driver であることがわかりました。現象が発生するのは下記を満たす環境です。

Ineternet Explorer 9 32bit
Flash Player 10.3.181.14
Intel HD Graphics 8.15.10.2361 より前

ということで、Intel HD Graphics driver を更新するのが根本解決になりますね。問題が修正されている Intel HD Graphics 8.15.10.2361 は下記より download できます。

ただ、メーカー製 PC を利用している場合には install の途中で下記 message が表示され install できない場合が存在します。

まあ、製造元から提供される driver は customize 入っている可能性があるので、Intel から提供される driver で問題が生じる場合もあるわけですからこれはしょうがないですね。

ということで、Intel の driver がそのまま適用できる環境 (Intel 製 motherboard 利用等) や、 PC 製造元から Intel HD Graphics 8.15.10.2361 以上の driver が提供されているなら driver を更新する。それ以外の環境であれば、製造元から更新された driver が提供されるまで「IE9 上の Flash Player 10.3.181.14 で Flash contents が左上に表示される」で示した GPU rendring を無効化する方法でしのぐというのが解決策ですね。

IE9 上の Flash Player 10.3.181.14 で Flash contents が左上に表示される

ちゃっぴ (tyappi@wankuma.com) — Sun, 15 May 2011 11:10:00 GMT

先日 Flash Player 10.3.181.14 が release されました。既に攻撃が行われている脆弱性が修正されているため、早急に update されることを推奨します。

Security update available for Adobe Flash Player

ですが、Flash Player 10.3.181.14 を IE9 に install すると flash contents の表示位置がおかしくなる現象が発生しました。10.3.181.14 より前では発生しない現象です。

ぶっちゃけた話、この状態が発生するとまともに表示できないのはもちろん、Flash Player の設定変更も行えません。影響甚大です。

回避策を探していたのですが、IE の設定で GPU rendering を利用せず software rendering を利用することで回避できると教えてもらいました。

[インターネットオプション] - [詳細設定] で「GPU レンダリングでなく、ソフトウェアレンダリングを使用する」に check を付ける。設定変更後 IE の再起動が必要です。

IE9 の目玉機能である GPU rendering ですが、こういう状況では無効にするのも仕方ないですね。。。

早く Flash Player を修正してほしいものです。

Adobe Reader X on Windows 7 disabled UAC

ちゃっぴ (tyappi@wankuma.com) — Sun, 21 Nov 2010 21:35:00 GMT

Adobe Reader X, Restricting SID, Adobe Reader X on Windows XP の続き。

Windows 7 で UAC を無効化した場合どのように access token が filter されるか確認してみました。

まずは親の方。

Windows XP 同様全く filter がかかっていません。この process に脆弱性が存在した場合、死亡確定です。

次に子の方。

Windows XP 同様 Restricted Token を利用した制限が加えられています。

結論としては、Windows Vista 以降で UAC を無効化している場合、Windows XP と同様の security level しか確保できないことになります。

Adobe Reader X on Windows XP

ちゃっぴ (tyappi@wankuma.com) — Sun, 21 Nov 2010 18:53:00 GMT

Adobe Reader X, Restricting SID の続き。

Windows XP 上での Adobe Reader X はどのように access token を制限しているか実際に確認してみましょう。

Process tree の構造は Windows 7 と変わりませんね。では access token はどうなっているか？まずは親の方。

Administrators に所属する user での結果ですが、全く filter されていません。つまり、この process の実行 account が有する権利が制限なく利用可能です。この process で動く code に脆弱性が存在した場合、死亡決定ですね。

次に子 process。

かなり厳しく filter されていますね。Filter された token がどのように機能するかについては Restricting SID を参照していただくとして、結論としては下表のような token になります。

SIDｓ	Enable
Logon SID (S-1-5-5-0-71174)	Disabled
Everyone	Enabled
Local	Disabled
NT AUTHORITY\Authenticated Users	Disabled
NT AUTHORITY\REMOTE INTERACTIVE LOGON	Disabled
VIRTUALXP-17110\Debugger Users	Disabled
VIRTUALXP-17110\なし	Disabled
BUILTIN\Users	Enabled
NT AUTHORITY\INTERACTIVE	Disabled
BUILTIN\Administrators	Disabled
VIRTUALXP-17110\XPMUser	Disabled

要するに Everyone と BUILTIN\Users のみが有効な SID ということですね。

つまり、対象 rewouces の ACL で Everyone および BUILTIN\Users に対する許可の権利が与えられていないと access できないということです。

Windows XP の既定の ACL で Everyone および BUILTIN\Users が access 可能な resources の概要を下記に示します。

Type	Path	Rights
File/Folder	Drive root C:\ 等	Read & Create New
File/Folder	%SystemRoot%	Read only
File/Folder	%ProgramFiles%	Read only
File/Folder	%UserProfile%	None
File/Folder	All Users Profile Ｃ:\Documents and Settings\All Users\	Read only
File/Folder	All Users Application Data Ｃ:\Documents and Settings\All Users\Application Data	Read & Create new
File/Folder	共有ドキュメントＣ:\Documents and Settings\All Users\Documents	Read & Create new
Registry	HKCR	Read only
Registry	HKLM	Read only
Registry	HKCU	Read only

%UserProfile% への権限は制限されているものの drive root に独自に作成した folder や共有ドキュメントに置いた file 等は保護されないことになります。また、ACL を変更して Everyone や BUILTIN\Users を付け加えるなんてこともよく行われており、当然その resources も保護されません。

これに対し、Windows Vista 以降では Low IL を利用しており、これは resources SACL に Low mandatory level が存在するものしか access できません。

参考) Low integrity level、Integrity level を ACE として folder へ設定可能

Low mandatory level が設定されている場所は %UserProile%\AppData\LocalLow 等の非常に限定的な場所にのみ付与されているため、Windows XP で Adobe Reader が利用している Restricted Token とは格段に制限が厳しいです。

Windows XP でも Restricted Token を利用することにより、かなりの security 向上が見込めますが、Windows Vista 以降では IL のおかげで遥かに高い保護が行えます。どうしようもない理由で Windows XP を使い続けなければならないならともかく、さっさと Windows Vista 以降の OS に乗り換えましょう。それから、UAC は絶対に無効化しない。これ重要。

Restricting SID

ちゃっぴ (tyappi@wankuma.com) — Sun, 21 Nov 2010 17:26:00 GMT

Adobe Reader X に関して NyaRuRu さんから突っ込みをいただいたので、Windows XP 上での Adobe Reader X について書こうと思ったのですが、その前に restrictied token について説明する必要があるため先に説明します。

CreateRestrictedToken 関数で作成する Restricted Token (制限トークン) での SID 制限の方法には deny-only SID (SID の無効化) と restricting SID (制限付き SID) の 2 種類が存在します。

まずは簡単な deny-only SID の方から。Deny-only SID とは、対象の SID を無効化します。無効化なので ACL に該当する SID が存在したとしても、無かったものとして扱われます。例えば、管理者権限を無効化するために BUILTIN\Administrators group SID を消しこむといった用途で使われますね。UAC の medium IL での管理者権限削除はこれを利用することによって実現されています。CreateRestrictedToken 関数では第 3 引数 DisableSidCount、第 4 引数 SidToDisable に対応します。

次にちょっとわかりにくい restricting SID の方。こちらはなんなのかというと Restrited と mark された SID のみが利用可能であるということです。

上は Windows XP mode でメモ帳 (notepad.exe) を「別のユーザーとして実行」→「許可されていないプログラムの動作からコンピュータとデータを保護する」を有効化して「現在のユーザー」で起動した aceess token です。

BUILTIN\Administrators が Deny されており、ほとんどの SIDs に Restricted flag がついているのが確認できます。それから NT AUTHORITY\RESTRICTED という見慣れない SID が存在しますね。

この状況では下記のように access check が行われます。

ACL に BUILTIN\Administrators が含まれていても deny-only であるため無視される
restricting SIDs 以外の SIDs を確認し、ACL に含まれる SID に対応した許可の ACE が含まれる場合のみ次に進む
NT AUTHORITY\RESTRICTED SID が付与されている Restricted Token であるため、restricting SIDs を照合して restricting SIDs が存在するもののみ access が許可される

How Access Tokens Work

ここで注意してほしいのは、この process の実行 user である VIRTUALXP-17110\XPMUser の restircting SID が含まれていないことです。つまり、VIRTUALXP-17110\XPMUser の権限が無効化されているということになります。

わかり易く整理すると下表のような感じです。

SIDｓ	Enable
Logon SID (S-1-5-5-0-71174)	Enabled
Everyone	Enabled
Local	Enabled
NT AUTHORITY\Authenticated Users	Enabled
NT AUTHORITY\REMOTE INTERACTIVE LOGON	Enabled
VIRTUALXP-17110\Debugger Users	Enabled
VIRTUALXP-17110\なし	Enabled
BUILTIN\Users	Enabled
NT AUTHORITY\INTERACTIVE	Enabled
BUILTIN\Administrators	Disabled
VIRTUALXP-17110\XPMUser	Disabled

実行 user である VIRTUALXP-17110\XPMUser の SID が利用できないのがミソですね。この影響により、この SID で許可されている %UserProfile% や HKCU 配下のすべての権限が消滅します。

なお、restricting SID は CreateRestrictedToken 関数の第 7 引数 RestrictedSidCount、第 8 引数 SidsToRestrict を利用して作成します。

"RunAs" basic (and intermediate) topics
Running restricted -- What does the "protect my computer" option mean?

Adobe Reader X

ちゃっぴ (tyappi@wankuma.com) — Sat, 20 Nov 2010 14:47:00 GMT

Adobe Reader の新しい version が公開されたようです。

Adobe Reader X

新しく追加された機能としては下記。

様々な PDF ファイルを閲覧
進化した注釈ツール
高度なセキュリティ
オンラインサービス

個人的な目玉は sandbox 実行ですね。というこで早速確認してみました。検証環境は Windows 7 Ulimate x64 Edition です。

Adobe Reader の process AcroRd32.exe が 2 つ立ち上がっているのが確認できます。まず親の access token を確認してみましょう。

Medium Mandatory Level です。次は子の access token。

Low Mandatory Level を使っています。

万年 zero day 脆弱性が出回っている Adobe Reader ですが、この Windows の IL (Integrity Level) を利用した sandbox によって脆弱性が存在しても深刻な状況になることが大幅に減るでしょうね。

ただ、Windows Vista 以前より前では IL なんて無いですからこの sandbox による恩恵は受けられないでしょうね。ちゃんと調査していないですが、仮に Google Chrome のようなしくみを利用しても、ザルなので。Windows Vista 以降の OS 使いましょ。あと UAC 無効化したら恩恵受けられないので絶対にやってはダメです！！！

この件に関しては新たに Restricting SID, Adobe Reader X on Windows XP, Adobe Reader X on Windows 7 disabled UAC といった entry を書きましたのでそちらを参照願います。

なお、一時期 Adobe Reader の脆弱性と言えば PDF に含まれる JavaScript からの攻撃でした。そのため、JavaScript を無効化することが有効な対策であったわけですが、この sandbox 導入により今後はそこまで求められないことが増えてくるんじゃないかと思います。

JavaScript の無効化手順はいつもと同じです。ただし、設定を保存している registry key に vestion が含まれていて、upgrade の際にその設定が引き継がれないので再度同じ操作を行う必要があります。

Adobe Reader 9.x の Java Script を無効化する方法

Adobe Reader X での registry key は下記です。

HKCU\Software\Adobe\Acrobat Reader\10.0\JSPrefs

Office Web Apps の HTML 埋め込み機能を使ってみる

ちゃっぴ (tyappi@wankuma.com) — Sat, 25 Sep 2010 13:18:00 GMT

ネタ元
「Office Web Apps」、ExcelやPowerPointをWebページに埋め込む新機能
 Office Web Apps reach 20 million: New features today + 7 more countries

ということで、早速やってみました。

いい感じではないか。

.Net Framework で作成した Windows Service Installer に独自の設定を追加する方法

ちゃっぴ (tyappi@wankuma.com) — Thu, 23 Sep 2010 17:58:00 GMT

.NET Framework を利用して作成した Windows Service を install する場合、installutil.exe を利用して install します。

方法 : サービスをインストールおよびアンインストールする

Install 時に行う Service の基本的な設定は wizard で自動的に作成される ServiceInstaller と ServiceProcessInstaller の property を設定することで行えます。

方法 : サービスアプリケーションにインストーラを追加する

ただ、Installer で proprty で定義されていない設定を追加したい場合も多いでしょう。その場合どうしたらよいか？

答えは簡単 System.Configuration.Install.Installer class の Install, Uninstall method を override する。

namespace SampleService
{
  [RunInstaller(true)]
  public partial class ProjectInstaller : Installer
  {
    public ProjectInstaller()
    {
      InitializeComponent();
    }
    
    // 追加
    public override void Install(IDictionary stateSaver)
    {
      base.Install(stateSaver);
      // 追加する設定を登録
    }
    
    // 追加
    public override void Uninstall(IDictionary savedState)
    {
      base.Uninstall(savedState);
      // 追加する設定を削除
    }
  }
}

こんな感じで簡単にできます。