Microsoft は IE のゼロデイ脆弱性を 2 か月近く前から知っていたのか 39
ストーリー by reo
何でもは知らないわよ。 部門より
何でもは知らないわよ。 部門より
headless 曰く、
Microsoft は先日発見された Internet Explorer 6〜9 のゼロデイ脆弱性に対して数日でパッチを公開したが、実は 2 か月近く前から脆弱性を知っていたのではないかという疑惑が持ち上がっている (TechWeekEuropeUK の記事、 Eric Romang 氏のブログ記事、 本家 /. 記事より) 。
このゼロデイ脆弱性を公表したのはセキュリティ研究家の Eric Romang 氏だが、Microsoft のセキュリティ情報に Romang 氏の名前はなく、TippingPoint (HP 傘下) の Zero Day Initiative (ZDI) に協力する匿名のリサーチャーが報告者として挙げられている。つまり、Romang 氏よりも先に ZDI が Microsoft に報告していたことになる。ZDI のリストによれば、最後に Microsoft に脆弱性を報告したのは 7 月 24 日となっており、攻撃者が HP の Digital Vaccine を解析して脆弱性を発見した可能性も指摘されている。また、IE10 が脆弱性の対象から除外されていたのは、すでにパッチ済みだったためとの指摘もあるとのことだ。
知ってたら何か問題でも? (スコア:1)
パッチ当てるのに1ヶ月以上はかかりすぎだろう。ってこと?
Re: (スコア:0)
パッチ公開前に、社内で検証作業が必要ってのを完全に無視した非難ですよねこれ。
何を批判したいのかが、いまいちわからないタレコミというかなんというか。
Re:知ってたら何か問題でも? (スコア:1)
某勉強会で、パッチを作ってから1ヶ月以上は検証をかけているので、あまり怖がらずにパッチを当ててね、という話を聞いたことがあります。
脆弱性を発見して、調査して、回避策を考えて、パッチを作って、検証して、リリース準備をする、と考えたら、2,3ヶ月は妥当な期間だと思うなぁ。来月の定例でリリース予定だったとすれば、脆弱性の内容が公になって、悪用されている事がわかった以上、検証漏れのリスクと、被害が広がるリスクとを天秤にかけて、緊急リリース、という話じゃないかなぁ。
Re:知ってたら何か問題でも? (スコア:1)
>パッチを作ってから1ヶ月以上は検証をかけているので
とてもそうは思えないパッチの不具合を連発してるからかかりすぎって言われるんじゃ?
何年か前にパッチのリリースサイクルをMSは”検証のため”と言って変えたと記憶してますが、
品質が上がったとは思えません。
http://answers.microsoft.com/ja-jp/windows/forum/windows_7-windows_upd... [microsoft.com]
ゼロデイの使い方間違ってない? (スコア:1)
タレコミ人がMSを批判したいのはわかるが、ゼロデイ脆弱性とか、意味わかってて使ってんのかと。
脆弱性が公表されていない間に修正が準備されるのは正しいことであって、批判される筋合いはない。
その脆弱性が修正される前に内容や利用したexploitが公表されると、批判されるべきは公表者である。
たまに、脆弱性を報告してもメーカーが真摯な対応をしなかったことへの制裁のために公表する人がいたりするけれど。
その、未対応の脆弱性を利用した攻撃が開始されたりするとゼロデイ攻撃って言われたりする。
ゼロデイ脆弱性ってのは普通は使わない間違った言葉。
通常であればこの手の脆弱性は定例のアップデートで修正される予定のところ、ゼロデイ攻撃が開始されたことで緊急性が高まり、定例外のリリースとなったんだと思う。
実際に「ゼロデイ脆弱性」は毎月のようにアップデートで修正されているだろう?
Re:ゼロデイの使い方間違ってない? (スコア:1)
今回、推測通りにHP TippingPoint Application Digital Vaccine [hp.com]がリバースエンジニアリングされて脆弱性がバレてしまった、と言うことなら、批判されるべきはHewlett-Packardということになりますかね…
こういうのは一般的に、暗号化とかして攻撃者に情報を与えないようになってるんですかね?
Re: (スコア:0)
一般ユーザーを危険に晒したままIPS会社だけが儲かるような状態にしたことこそ非難されるべきで、暗号化がどうとかいう問題じゃないような
Re: (スコア:0)
推測通りなら、そのとおり批判されるでしょうね。
だから、修正は公平にできるだけ同時に行われるのがいい。
アップデートパッチが出たら、悪者はリバースエンジニアリングで差分を見て脆弱性の修正を容易にみつけることができるので、基本的には「パッチが出てからしばらくして(人柱たちが被害報告を上げないか確認して)から適用する」というのは間違いで、早めに適用したほうがいい。
オープンソースソフトなんかはリバースエンジニアリングすら不要で、ソースの差分を見るだけで修正部分がわかる。
オープンソースソフトを使う場合は常に最新版を使用しないといけない。
なお、IE10は初物だから予め修正されていても問題個所は特定しにくいので問題ない。
Re:ゼロデイの使い方間違ってない? (スコア:2)
誰も、IE6~IE9は脆弱性があるけど、IE10は完璧なんだという演出をマイクロソフトが
しようとしたとは思わないのかな・ω・?
http://blog.livedoor.jp/blackwingcat/archives/1712289.html [livedoor.jp]
逆に、Microsoft のIEは10になってもやっぱり問題があるよというタイトルの記事が
日経BPから出てたけど、中身はIE10関係なかったというニュースも
Re: (スコア:0)
もう、そこまでMSが悪いんだと思うような奴は話にならないので出てくるなって感じですね。
完全な思い込み、妄想レベル。
Re: (スコア:0)
用語はともあれ、任意コード実行を許す脆弱性を報告を受けてから2ヶ月も修正せず、そしてその結果ゼロデイ攻撃につながったのは批判されてしかるべきかと。
Re: (スコア:0)
どうしても、「MSがさぼってた」ってことにしたいだけに見えますが。
ゼロデイ化しなければ定例に乗せて粛々と修正してたでしょう。
Re: (スコア:0)
先月の定例で出せばよかったのでは?
ってことだと思うんだけど
Re:ゼロデイの使い方間違ってない? (スコア:1)
そんなものはMS内部のスケジュール次第でしょうに。この修正を中心に世の中回ってない。
Re: (スコア:0)
Appleみたいにバージョンが2つしかないわけじゃないもんね。
Re: (スコア:0)
まあ動作環境はChromeと同じですけどね
Re: (スコア:0)
Re: (スコア:0)
いま以上の対応を要求する AC#2239028 は、いくらの対価を支払う用意があるのか気になる。
Re: (スコア:0)
2か月も何もしなかったということのようにミスリードを誘ってるようですが、何もしていないわけじゃないでしょう。
何もしていなかったなら、まだアップデートはできていないハズです。
それに、今回の脆弱性お影響範囲を考えれば、検証に慎重にならざるを得ないのはしょうがないこと。
IE6~IE9という広範囲で検証しなくてはならなかったことを考えれば、2か月という期間でアップデートが出されるというのは、褒められることはあっても批判されるところは一切ないと思いますが。
今回のMSの対応を批判してる人は、技術者たちの仕事の大変さを全く考えることのないド素人の無知な人で
Re: (スコア:0)
> ゼロデイ脆弱性ってのは普通は使わない間違った言葉。
えー。
"zero day exploit market"という言葉がEric Romang氏のブログにもありますが。
なんで元記事読まないんですか?
Re: (スコア:0)
> "zero day exploit market"という言葉がEric Romang氏のブログにもありますが。
うん…
> ゼロデイ攻撃って言われたりする。
"zero day exploit" を日本語では「ゼロデイ攻撃」っていうんじゃないかな…
で、 zero day vulnerability とかいう言葉はありましたか?
Re:ゼロデイの使い方間違ってない? (スコア:1)
zero day vulnerability、ゼロデイ脆弱性は、「ゼロデイ攻撃で使われた新たな脆弱性」的な意味でよく使われるかと。
Re: (スコア:0)
よーワカランが「ゼロデイ攻撃を受ける脆弱性」の略なんだろうか?>ゼロデイ脆弱性
脆弱性なんて、MSのプロダクトに限らず「未発見のもの」や「発見されても非公開で放置のもの」が沢山あるワケで。
「脆弱性」に対して「ゼロデイ」が直接付くのは意味がワカラン。
攻撃者だけが知っている脆弱性も「ゼロデイ脆弱性」と呼べるかな?
まあ、攻撃者しか知らないから開発元は対処するキッカケも無いけど。
Re: (スコア:0)
タレコミにあるように, ZDI から「ゼロデイ脆弱性」情報が漏れた可能性が指摘されていますが,
一般には「発見されても非公開」の期間が長いとリスクは高くなりますね。
修正の困難さによって必要な期間は変わってくるので,今回の Microsof の対応が批判されるべきか
どうかは,よく分かりませんが。
MSといえば (スコア:0)
Windows8の発売日が1ヶ月後にせまっていますが、日本での価格がいまだに発表されません
イギリスでの「Windows 8 Pro」へオンラインアップグレード価格は24.99ポンドと1ヶ月前に発表されているわけですが・・・
こちらもさっさと仕事して欲しいですね
Re: (スコア:0)
日本は今まで通り3万〜5万くらい
連峰 (スコア:0)
「2ヵ月じゃダメなんですか?」
「半年後でもいいんじゃないでしょうか?」
ゴネてるエロい人に質問 (スコア:0)
要するに月刊Windows Updateを止めて1つでもhotfixが出たらその都度公開しろって言いたいのか?
Re: (スコア:0)
要求としてはこんな感じです
・劇重WindowsUpdateを軽くしろ
・重要なセキュリティホールは1週間以内にはパッチ作れ
MacまでサポートしているFirefoxもChromeもできるのに大企業のMSはなんでできないんでしょうね
Re: (スコア:0)
なんか・・・あたまわるっ
Re: (スコア:0)
なんか・・・あたまわるっ
日本語でおK
Re: (スコア:0)
そこまで要求する奴はモンスターなので使わなくてよろしい。
Macでも使え。
Appleの対応なんかは、MSの足元にも及ばないくらい酷いもんだけどな。
でも、みんな「そんなもんだ」と納得して使ってるから満足度が高い。
>MacまでサポートしているFirefoxもChromeもできるのに大企業のMSはなんでできないんでしょうね
これは、本当か?
本当にできているのか?
Chromeをリリースしているのは大企業ではないのか?
FirefoxもChromeも、新しいバージョンを常につかえ、古いのは知らん、という無責任方式だからできることもある。
ある意味、MSは簡単に全ユーザにアップデートを強要することができない責任感をもって対応しているだけだろう。
もうちょっと頭を使って考えろ。
Re: (スコア:0)
同意です
Re: (スコア:0)
それも、脆弱性が見つかったら即座にfixできなきゃ悪い
安定したパッチの開発に時間をかけることは悪である
といっている
Re: (スコア:0)
究極の要求は脆弱性のあるプログラムをリリースするな。
Re: (スコア:0)
「放置して、公表されて慌ててパッチを作成」
100%妄想ですな。
仮にそうだったとしても、公表されてても放置するところより1万倍ましだよ。
Re: (スコア:0)
そんな釣りじゃ俺以外釣られないクマー
Re: (スコア:0)
あれだけ広範なバージョンに対して公表されてから慌ててパッチを作成できるとか、MSの開発力は異常だな。