virtualization.info 日本語

なんとも皮肉なことに、新しい「VirtualCenter 2.5」向けのサードパーティープラグインを初めて開発したAndrew Kutz氏が、VMware製以外のプラグインを使う場合に予想されるセキュリティリスクを初めて警告することにもなった。

...

コンソールプラグインの開発中に、SSH「ターミナル」の入力を取得するためメインメッセージループにメッセージフィルタを登録する必要があった。重大な影響を及ぼす可能性があるため、この操作はVIクライアントが許してくれるかどうか定かでなかった。だが何と、それができてしまった。普通にだ。

...

VMwareはこの脆弱性の報告を受けてソリューションを提供している。

...

「KeySniffer」クライアントプラグインに付属する「CheckForMsgFiler.exe」アプリケーションをお試しいただきたい。このアプリケーションは所定の集合をチェックし、その集合に「IMessageFiler」インターフェースをインプリメントするコンテンツタイプの有無をユーザーに通知する。...

この概念を立証するため、AndrewはVirtualCenter GUIに入力されたすべてのキーストロークを記録するという悪質な動作をするKeySnifferプラグインを開発した。これはこちらで試せる。