アカウント名:
パスワード:
タレコミ人がMSを批判したいのはわかるが、ゼロデイ脆弱性とか、意味わかってて使ってんのかと。
脆弱性が公表されていない間に修正が準備されるのは正しいことであって、批判される筋合いはない。
その脆弱性が修正される前に内容や利用したexploitが公表されると、批判されるべきは公表者である。たまに、脆弱性を報告してもメーカーが真摯な対応をしなかったことへの制裁のために公表する人がいたりするけれど。
その、未対応の脆弱性を利用した攻撃が開始されたりするとゼロデイ攻撃って言われたりする。ゼロデイ脆弱性ってのは普通は使わない間違った言葉。
通常であればこの手の脆弱性は定例のアップデートで修正される予定のところ、ゼロデイ攻撃が開始されたことで緊急性が高まり、定例外のリリースとなったんだと思う。実際に「ゼロデイ脆弱性」は毎月のようにアップデートで修正されているだろう?
その脆弱性が修正される前に内容や利用したexploitが公表されると、批判されるべきは公表者である。
今回、推測通りにHP TippingPoint Application Digital Vaccine [hp.com]がリバースエンジニアリングされて脆弱性がバレてしまった、と言うことなら、批判されるべきはHewlett-Packardということになりますかね… こういうのは一般的に、暗号化とかして攻撃者に情報を与えないようになってるんですかね?
推測通りなら、そのとおり批判されるでしょうね。
だから、修正は公平にできるだけ同時に行われるのがいい。アップデートパッチが出たら、悪者はリバースエンジニアリングで差分を見て脆弱性の修正を容易にみつけることができるので、基本的には「パッチが出てからしばらくして(人柱たちが被害報告を上げないか確認して)から適用する」というのは間違いで、早めに適用したほうがいい。
オープンソースソフトなんかはリバースエンジニアリングすら不要で、ソースの差分を見るだけで修正部分がわかる。オープンソースソフトを使う場合は常に最新版を使用しないといけない。
なお、IE10は初物だから予め修正されていても問題個所は特定しにくいので問題ない。
誰も、IE6~IE9は脆弱性があるけど、IE10は完璧なんだという演出をマイクロソフトがしようとしたとは思わないのかな・ω・?
http://blog.livedoor.jp/blackwingcat/archives/1712289.html [livedoor.jp]逆に、Microsoft のIEは10になってもやっぱり問題があるよというタイトルの記事が日経BPから出てたけど、中身はIE10関係なかったというニュースも
もう、そこまでMSが悪いんだと思うような奴は話にならないので出てくるなって感じですね。完全な思い込み、妄想レベル。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
ゼロデイの使い方間違ってない? (スコア:1)
タレコミ人がMSを批判したいのはわかるが、ゼロデイ脆弱性とか、意味わかってて使ってんのかと。
脆弱性が公表されていない間に修正が準備されるのは正しいことであって、批判される筋合いはない。
その脆弱性が修正される前に内容や利用したexploitが公表されると、批判されるべきは公表者である。
たまに、脆弱性を報告してもメーカーが真摯な対応をしなかったことへの制裁のために公表する人がいたりするけれど。
その、未対応の脆弱性を利用した攻撃が開始されたりするとゼロデイ攻撃って言われたりする。
ゼロデイ脆弱性ってのは普通は使わない間違った言葉。
通常であればこの手の脆弱性は定例のアップデートで修正される予定のところ、ゼロデイ攻撃が開始されたことで緊急性が高まり、定例外のリリースとなったんだと思う。
実際に「ゼロデイ脆弱性」は毎月のようにアップデートで修正されているだろう?
Re: (スコア:1)
今回、推測通りにHP TippingPoint Application Digital Vaccine [hp.com]がリバースエンジニアリングされて脆弱性がバレてしまった、と言うことなら、批判されるべきはHewlett-Packardということになりますかね…
こういうのは一般的に、暗号化とかして攻撃者に情報を与えないようになってるんですかね?
Re:ゼロデイの使い方間違ってない? (スコア:0)
推測通りなら、そのとおり批判されるでしょうね。
だから、修正は公平にできるだけ同時に行われるのがいい。
アップデートパッチが出たら、悪者はリバースエンジニアリングで差分を見て脆弱性の修正を容易にみつけることができるので、基本的には「パッチが出てからしばらくして(人柱たちが被害報告を上げないか確認して)から適用する」というのは間違いで、早めに適用したほうがいい。
オープンソースソフトなんかはリバースエンジニアリングすら不要で、ソースの差分を見るだけで修正部分がわかる。
オープンソースソフトを使う場合は常に最新版を使用しないといけない。
なお、IE10は初物だから予め修正されていても問題個所は特定しにくいので問題ない。
Re:ゼロデイの使い方間違ってない? (スコア:2)
誰も、IE6~IE9は脆弱性があるけど、IE10は完璧なんだという演出をマイクロソフトが
しようとしたとは思わないのかな・ω・?
http://blog.livedoor.jp/blackwingcat/archives/1712289.html [livedoor.jp]
逆に、Microsoft のIEは10になってもやっぱり問題があるよというタイトルの記事が
日経BPから出てたけど、中身はIE10関係なかったというニュースも
Re: (スコア:0)
もう、そこまでMSが悪いんだと思うような奴は話にならないので出てくるなって感じですね。
完全な思い込み、妄想レベル。