パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表」記事へのコメント

  • 悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?

    • by hakikuma (47737) on 2020年12月27日 14時02分 (#3949662)

      いや、ゼロデイ公開したProject Zeroを責めるのは違う。
      だってルールを破ったのはM$の方でしょ?
      M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。

      まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
      だからルール通りに公表した。
      全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。

      親コメント
      • by Anonymous Coward on 2020年12月27日 16時10分 (#3949712)

        > だってルールを破ったのはM$の方でしょ?
        いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。
        「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。
        MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。
        なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。

        親コメント
        • by Anonymous Coward

          確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程で
          Microsoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの
          結局間に合わないということで公開された流れのように読めました。
          Issue へのコメント参照。

          • by Anonymous Coward on 2020年12月27日 23時34分 (#3949861)

            うん、そうなんだけど、
            それで「ルールを破った」という日本語は適切なのか?というのが #3949712 の意見なわけだ。

            親コメント
          • by Anonymous Coward

            Project Zeroの提示する「90日」「+14日」に何か根拠があって、その期限にどうしても間に合わせる必要があるのか?
            と考えると別にそんなことはなくて、+14日が+20日に伸びたところで大した差はない。

            もしMSが修正パッチを出す気がないなら脆弱性を公開して注意を呼び掛けるのも致し方ないが、
            予定されている修正パッチを待たずに脆弱性を公開すると年末年始に多くの利用者を危険にさらすことになる。

            3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
            犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。

            • 大事なことだからもう一度言います。

              Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。

              本当に犯罪者を利することになるなら公開なんてやらないでしょ。
              公開してもほとんど問題ない、つまりリスクがかなり低いとの見通しだから公開するのだと気付いてください。

              親コメント
              • by Anonymous Coward

                Project Zeroは90日+14日ルールに基づいて公開してるだけでしょ。
                悪用リスクが高いからと公開を先延ばしにしたケースがあったなら教えて?

              • by Anonymous Coward

                「特に必要のない情報公開で被害者が出るかもしれないけど少数なら問題なし」って考え方こわすぎるな

              • by Anonymous Coward
                ・単体で悪用できる脆弱性ではなく、悪用へのハードルは高い(ただし、既に利用可能な脆弱性を持っている場合、リスクは高まる)
                ・脆弱性修正への意識を高めるため、公開ルールは守る
                だと思うんだけど、なんで被害者でる前提?
              • >なんで被害者でる前提?

                私は「被害者」なんて一字も書いてないので「犯罪者」ってところに引っかかってるんですよね?
                私は元コメントが「犯罪者を利する」って書いてあったのでそれを受けただけなんですよ。
                そのコメントを見て「被害者が出る前提」だと認識したのであれば、それは元コメントがそういう主張をしているわけで、
                そもそも私の主張ではありません。
                つまり元コメント側にぷら下げるのが正解では?

                親コメント
              • そういうケースがあったかどうかは知りません。前例があれば先延ばしにすることがあるのかどうかも知りません。
                少なくとも今回M$側はProject Zero側に公開の先延ばしを申し入れたわけで
                そういう先延ばしを申し入れることができる体制は重要だと思うし、
                その申し入れを受け入れることも拒否できることもできる体制がある、ということもやはり同じくらい重要だと思っています。
                で、私が言いたかったことは、元コメントの方が

                >3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
                >犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。

                と言っていて、そういった行動や体制をまるで否定しているかの意見を述べている、これは違うんじゃないかということなんです。
                結果としてProject Zero側は先延ばしを拒否したわけですが、最初からはM$の申し入れを全否定したわけじゃなかったと思うんです。
                そうじゃなかったらそもそも協議自体を受け入れるはずがない、協議を受けた時点で聞く耳は持っていたんですよ。
                だから今回の件もそうだし同様の場合もそうですが、単純にルールに基づいて公開しただけとは私には思えません。リスクを考えた末の公開だと思われるわけです。
                その上でルールを変更してでも公開・非公開を変更することはアリだと思いますし、前例がないからやりませんではダメだと思います。
                一様に「90日+14日ルールに基づいて公開してるだけ」だったらやはり元コメントを引用するなら「犯罪者を利する」ことになるだけです。
                誤解があったら申し訳ないです。

                親コメント
              • by Anonymous Coward

                被害というよりは、
                "公開することで発生するリスク"と"公開しないことで発生するリスク"を天秤にかけて
                少ない方を取っている、ただそれだけ
                一般的な考え方だとこうなるね
                自分の身の回りでも同じようなことたくさんあるはず、あなたが気付いていないだけで

            • by Anonymous Coward

              なるほど確かにそうですね。
              3ヶ月以内に修正パッチの公開まで済ませられる世の中に強制的にしようとする Project Zero のやり方と、
              現実とのギャップですか。

          • by Anonymous Coward

            その「Project Zeroのルール」が他社にむけて強制力が無い「内部ルール」でしかない

にわかな奴ほど語りたがる -- あるハッカー

処理中...