by
Anonymous Coward
on 2015年05月20日 0時28分
(#2817374)
SEはGoogleに調査させてくれって、ちゃんとお願いを出している。
>> 06-Dec-2014 >> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.
でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。
>> 07-Dec-2014 >> - Google responds that it would appreciate to get whatever information Security >> Explorations has on the vulnerabilities now. The company informs that it generally >> encourages external researchers to stop as soon as they find a vulnerability, and let >> Google take it from there. Google also informs that it will check how to go about >> re-enabling suspended GAE account.
ストーリー補足 (スコア:5, 参考になる)
http://www.itmedia.co.jp/enterprise/articles/1412/09/news048.html [itmedia.co.jp]
http://www.itmedia.co.jp/enterprise/articles/1505/18/news027.html [itmedia.co.jp]
> Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。
> しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。
> 「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベンダーだけに、特に憂慮される」と指摘する。
> また、一部の脆弱性はGoogleがSecurity Explorationsに連絡しないまま修正していたことも分かったとして、「同社の『黙って修正』のアプローチをわれわれが経験したのはこれで3度目」だとも批判した。
> 6日になって、Security Explorationsの研究者がテスト用に使っていたGAEアカウントが停止され、調査を続けることができなくなったという。
脆弱性は昨年12月以降で30を超えていて、Googleに報告しても相手にされず。一部は未修正、一部はこっそり修正して、公表も報告者に連絡も無し。
それどころか、報告者からの報告を受けて、報告者のアカウントを凍結して調査を妨害、その報復として今回の未修正の脆弱性に対する実行コード作の公開となったようです。
ストーリー誤読の補足 (スコア:5, 参考になる)
報告を受けてアカウント凍結、ではありません。
アカウントの凍結は12月でしょ。
脆弱性をざくざく掘っている最中に監視システムにでもかかったか、アカウントが凍結されたのが事の発端。
まともに監視がついてるシステムを無断でつつきまくればブロックされるのが当たり前だけど。
とりあえずSE社は途中経過を Full Disclosure に投げました。
その日のうちにG社から連絡が来て、数日後に凍結は解除されました。この辺よく読みましょう。
http://www.security-explorations.com/en/SE-2014-02-status.html [security-e...ations.com]
その後、水面下でやり取りがあって決裂したのがこの5月。
だから、
「あいつら他の会社にはうるさいくせに自社はこのていたらくかよ」って指摘は分かるが
「調査を妨害するなんて! Evilだ!」ってのは的外れ。
アレゲなニュースと雑談サイト
Re: (スコア:0)
報告者のアカウント凍結って凄いな。
逆ギレにも程がある。
Re: (スコア:0)
誤爆によるBANだという可能性も有るとGoogle社を擁護は出来るが、他人に90日ルールを強制してコレはねぇ……
Re:ストーリー補足 (スコア:1)
誤爆も何も、意図的に決まってるじゃないですか。
PaaS環境上で脆弱性を探しまくって、
変なシステムコールを発生させまくっても、
御咎め無しなサービスがあるなら教えてくれ。
逆ギレじゃねーよ、あったりめーだよ。
# まぁ、そうすると許可が出るとも思えないから、
# 調査なんてできないけど……
何を怒ってるのか知らんけど (スコア:1)
SEはGoogleに調査させてくれって、ちゃんとお願いを出している。
>> 06-Dec-2014
>> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.
でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。
>> 07-Dec-2014
>> - Google responds that it would appreciate to get whatever information Security
>> Explorations has on the vulnerabilities now. The company informs that it generally
>> encourages external researchers to stop as soon as they find a vulnerability, and let
>> Google take it from there. Google also informs that it will check how to go about
>> re-enabling suspended GAE account.
Re:何を怒ってるのか知らんけど (スコア:1)
出してなくない?
それ読む限り、SEがお願い出したのはBANされた"後"としか読めないなあ。
『アカウント凍結の結果、調査が終わらなかった』ってのが、最初に書いてあるもの。
許可もらう前に人の環境で脆弱性をテストしちゃダメよ、やっぱり。
そら、アカウントも凍結するさ。
Re: (スコア:0)
3週間で公開というのは早いよなぁ。
90日ルールに倣ってくれれば、過ぎたときにGoogleを思い切り叩けたのに。
Re: (スコア:0)
おそらく、Googleに脆弱性の報告をしてもなしのつぶて。
何の反応も無い。
ところが、いつの間にか修正されてる。
修正しても、修正したとの報告も何もされない。
報告者が「こっそり直したんだろう」と言っても証拠が無い。
そこで、まだ脆弱性が直ってないことを確認して3週間でばらした。
Re: (スコア:0)
まさに悪の帝国。
ただ、ほんとにそれだけなのか?ってのは疑問。
Re: (スコア:0)
Google is already evil.
ダメだこいつら。
Re: (スコア:0)
ようするにテキストブラウザを使えってことですね、わかります。