米Microsoft、ストアなどで配信するアプリの脆弱性に180日以内の修正を義務付け 31
ストーリー by hylom
さすがに180日の猶予があれば…… 部門より
さすがに180日の猶予があれば…… 部門より
あるAnonymous Cowardのタレコミより。
Microsoftが、同社のWindows向けソフトウェア配信ストア「Windows Store」などで配信するアプリについて、脆弱性が発覚した場合は180日以内に修正することを義務付けることを発表した(ITmedia)。
対象となるのはWindows Storeのほか、「Windows Phone Store」、「Office Store」、「Azure Marketplace」といったMicrosoftの提供する配信ストア経由で提供されるアプリ。修正が適切に行われない場合、Microsoft側はアプリを削除するという。このルールはサードパーティだけでなく、Microsoft製のアプリにも適用されるそうだ。
さらに、深刻な脆弱性が発見され、その悪用が確認されている場合など、Microsoftはケースによっては180日より前でもアプリを削除する権利も持つという。
たいそうなことを言うけれども (スコア:5, 興味深い)
CVE-2012-2993をはじめとするWindows Phone 7のOS自体に存在するバグは180日どころか1年たっても修正されないのであった。
プライオリティ (スコア:2)
ITMediaの記事には《アプリに「緊急」または「重要」レベルのセキュリティ問題が見つかった場合》とありますね。
《CVE-2012-2993をはじめとするWindows Phone 7のOS自体に存在するバグ》は「緊急」でも「重要」でもなかったんじゃないですかね。少なくともCVE-2012-2993はそうみたいですね。他は知らんけど。
あとこの手のバグは次バージョン以降で対策済みと言われることもたびたびあるので、WP7.8とかWP8.0とかでどうなったのかは知りたいですね。
Re: (スコア:0)
認証情報が盗まれうるので、自明に「重要」では。
>WP7.8
部分的にしか直っていません。また、この部分的な修正の配信に180日以上かかっています。
>WP8
7のデバイスにはインストールできません。
Re: (スコア:0)
信者にとってMSが修正しない脆弱性は定義により重大じゃないんだよ。
Re: (スコア:0)
MS<バグじゃなくて仕様だから(震え声
Re: (スコア:0)
Windows 8.1が引っ込む可能性も…
もうちょっと曖昧な表現にしておけばいいのに、自分を縛るのが好きねえ
Re: (スコア:0)
Windows 8→8.1は無料なんだし、8.1が出れば8のパッケージ販売や8のプリインストール販売は8.1に切り替わるだろうから
仮に配信開始初日に脆弱性が発見されて、それが一度も修正されないまま放置されたと仮定しても、
半年もの間配信できりゃ十分じゃないの? という気もしますけどね。
Re: (スコア:0)
MS<ストアで配信してないから(震え声
Re:たいそうなことを言うけれども (スコア:1)
Microsoft、「Windows 8.1」のRTM版を夏後半にOEMへリリース [nikkeibp.co.jp]
で
#2419675 [srad.jp]
のようなことがおきたらどーすんの
Re: (スコア:0)
そういう起きてもいない問題について、不安をあおるようなものはFUDっていうんだよ。
知らなかった?
Re: (スコア:0)
ばっかじゃなかろうか、ルンバ。
Re: (スコア:0)
MS<ストアの配信を断られた(震え声
Re: (スコア:0)
OSは基本ソフトウェアであって、
アプリ(アプリケーションソフトウェア)ではないから、
対象には含まれないのさ。
Re: (スコア:0)
脆弱性が「発覚」した場合だから、はじめから脆弱性ありますならOK?
Re: (スコア:0)
そう。一般にバレなきゃいいんだよ。諜報機関や官憲やあろいうことか犯罪者が知ってても、明るみに出て問題にならなきゃ大丈夫。
Re: (スコア:0)
いや、違うな。
(脆弱性だと)認めなきゃ脆弱性じゃないんですよ♪
まずは自分たちで手本を (スコア:2, おもしろおかしい)
何年も桅弱性放置してるソフトを削除してくれないかな
何も残らないからできないの?
Re: (スコア:0)
桅弱性ってなんて読むんです?
何年も桅弱性放置しているWindows Storeのアプリって何かありましたっけ?
Re: (スコア:0)
桅弱性で検索しても、ほとんどが脆弱性でHITする容赦無いGoogle先生。
そこまでするならもしかしてにすればいいのに。
Re: (スコア:0)
手書き入力の誤検出かな。
恥ずかしくて傷つくから脆弱性のあるアプリだね。
Re: (スコア:0)
「きじゃくせい」でなんとか変換しようとして出てきたのがそれなんじゃないですかね。
とかいって「きじゃくせい」で変換したら「脆弱性(『ぜいじゃくせい』の謝り)」って
ATOKに指摘された。ルートの人もATOKを使ってれば赤っ恥かかずに済んだのかもね。
とステマしといて去ろう。
Re: (スコア:0)
「きじゃくせい」って何ですか?
桅弱性は「がいじゃくせい」ですよ?
http://www.weblio.jp/content/%E6%A1%85 [weblio.jp]
#ウソコケ
Re: (スコア:0)
謝ってますよ
このOSは (スコア:2, おもしろおかしい)
180日以内に自動的に消滅する
Re: (スコア:0)
180日以内にXPから乗り換えろってこと?
誰よりも先にマイクロソフト社内から (スコア:1)
「聞いてないよ〜」っていう叫び声が聞こえてきそうな気がしたんですが。
胴元は適用除外だったりするんでしょうかね。
Re:誰よりも先にマイクロソフト社内から (スコア:2)
バグはいいけど脆弱性は許されないのだ。
GooglePlayより良い (スコア:1)
WindowsStoreのこの処置にはアンチなコメントが多いけれど、GooglePlayのAndroid向けアプリの酷さは何とかしてくれって感じ。
ある有料アプリを購入したが、バグが酷くて動作せず、返品処理をした。
その機能はとても欲しいものだったので、バグが修正されるのを期待して待った。
アップデートが実施されたので、もう一度購入したら、全然直っていないどころか酷くなっていた。
返品処理をしようとしたら、2回目以降は返品できず、強制的に課金された。
その後、待てど暮らせど、そのアプリはアップデートされることも修正されることも無く、いまだに有料で販売し続けている。
脆弱性の問題ではなくバグで動かないものだけど、バグで動かないということはその点が脆弱性になっている可能性は高い。
そういうアプリを180日で葬り去ってくれるっていうなら、いい話だと思う。
GooglePlayは、一時はAppStoreにアプリ数で対抗するために、こういうゴミを多数放置している傾向があったので(いまもそうかも)、腐りつつある。
Re: (スコア:0)
ソフトウェアの品質に関してなら、胴元の独裁的判断よりは自由な競争に基づく選別のほうが望ましいと思います。
バグが多いが有用なソフトもたくさんありますし。
今のトピックはセキュリティの話ですので別ですが。Microsoftの判断はよいものだと思います。
>バグで動かないということはその点が脆弱性になっている可能性は高い。
可能性っていわれましても。