パスワードを忘れた? アカウント作成
13437871 story
Windows

不具合修正はWindows 10を優先する、というMSの姿勢に対し批判が出る 55

ストーリー by hylom
危険にさらされる旧バージョン 部門より

Microsoftはセキュリティに関連する不具合修正パッチについて、最新OS向けのものをまず優先して提供する方針なのだそうだ。そのため、Windows 7や8.1向けのセキュリティパッチの提供は遅くなる可能性があるという(ITmedia)。また、これを利用して攻撃者が未発表の脆弱性を知ることができるという危険性もあるようだ

GoogleのProject Zeroブログに掲載されたUsing Binary Diffing to Discover Windows Kernel Memory Disclosure Bugsという記事によると、たとえばWindowsカーネル内でのmemset関数呼び出しに関する脆弱性は、Windows 10ではすでに修正パッチが提供されているにもかかわらず、Windows 7や8.1ではまだ修正パッチが提供されていないと見られるそうだ。そのほか、Windows 8.1では修正されているがWindows 7では修正されていないと思われる脆弱性もあるという。

このようにバージョンによって修正タイミングが異なると、たとえばWindows 10のバイナリとWindows 7のバイナリを比較したり差分を取ることで、Windows 10だけで修正されている未発表の脆弱性を特定するといったことが可能になってしまう。

  • Windows 7や8.1向けには (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2017年10月23日 18時40分 (#3300338)

    Windows 10というパッチがあるじゃない

    ここに返信
  • by Anonymous Coward on 2017年10月23日 18時48分 (#3300341)

    まあ考えることは同じというか。いくら正しいことをしているとしても、ちょっと攻撃的すぎて、反発を受けている感じがある。

    I find this whole website so hypocrite. Why would you even bother with Windows? And please don't pretend to care about Windows users. Especially as you have a rich history of NOT supporting your own services on this very platform!
    Focus on your own great products to make them even better. But again, please stop this childish behaviour.
    このWebサイトは全体として偽善的だ。なぜWindowsのことを気にする? どうかWindowsユーザーを気遣う振りなんてしないでくれ。
    まさにこのWindowsプラットフォーム上で、あなたの会社はこれまでに大量のサービスのサポートを中止してきたではないか。
    自分たちの素晴らしい製品を改良することに専念して、どうかこんな子供じみた振る舞いは止めてほしい。

    when do you'll focus on android too?
    いつになったらAndroidに対して同じように検証してくれるの?

    Windows 7 is still getting security updates though... Please improve Android so security updates can be pushed out regardless of who the OEM is, like is possible with Windows. Everyone would benefit from that.
    でも、少なくともWindows 7は今でもセキュリティアップデートを提供しているだろう…。どうか、Windowsのように、
    OEMメーカーに関わらずセキュリティアップデートを提供できるようにAndroidを改善してほしい。そうすれば誰もが助かるだろう。

    ここに返信
    • by uxi (5376) on 2017年10月24日 15時06分 (#3300658)

      最後のコメントが本当に素晴らしい。
      Microsoft 攻撃する前に、Android デバイス出してる全てのメーカーに苦言を呈せよと思う。
      加えて言えば、サードパーティーの話を脇に置いたとしても、近日中に解決と言ってる WPA2 の問題なんて Microsoft は既に対応済だったりとか、Microsoft 批判以前にやるべきことがあるではないか。

      --
      uxi
      • by Anonymous Coward

        ホントそれ。
        モバイル用WindowsがOEMでもWindowsUpdateを提供するって聞いたときはスマホのセキュリティに光明が差した気がした。

        気がしたんだけどねorz

  • カーネル側のスタックの一部を読み取れますよっていう脆弱性。
    MS的には、些細な問題なのかもしらない。

    ここに返信
    • by Anonymous Coward

      そこから有意義なデータを取得できるかどうかは大いに疑問だけれどな。

      • by Anonymous Coward

        俺からすればカーネルスタックにアクセスできればやりたい放題ですけどね。
        だってそこはring0でしかアクセスできない空間ですからね

        わからないなら黙っていればいいのにw

  • by Anonymous Coward on 2017年10月23日 16時42分 (#3300289)

    素人一般人が多く使う版だからなるべく早くパッチを提供するべきとか、
    企業が主に使うものだから互換性重視で検証を多くやってからパッチを提供するべきとか、
    用途ごとに違いがあるのが当然なんですけどねぇ、、、

    ここに返信
    • by Anonymous Coward on 2017年10月23日 20時26分 (#3300376)

      OSSのサポートだって、よく報告されるのは最新バージョンの不具合だ。
      メンテナンスされている旧バージョンは、最新バージョンの不具合の修正を見て、その修正をバックポートしていることが多い。本当の意味で同時に修正が提供されるなんてことは少ない。

    • by Anonymous Coward

      こないだMSにGoogleのパッチ提供方針を批判されたから反撃がてらに言ってるだけじゃないの?

      • Project Zeroの記事が出たのは半月ぐらい前なので、むしろMicrosoftの方が反論しているといえます。

        Project Zeroの記事の内容としては、Windows 7/8.1に存在し、Windows 10には存在しない初期化されていないカーネルメモリー領域にアクセス可能な脆弱性を発見したので調べてみたところ、Windows 10ではmemsetでメモリーを初期化する処理が追加されていた。さらに調査を行うと、Windows 10ではメモリーを初期化する処理が100か所以上追加されていた、というものです。

        Microsoftが脆弱性を修正したのか、脆弱性の発生する可能性のある部分をつぶしただけなのかはわかりませんが、数としては後者でしょう。また、パッチがWindows 10にのみ提供されたということでもありません。
        • by Anonymous Coward

          なんだそれ…本当に言いがかりみたいな話だな。
          LTSとlatest releaseでブランチ分けるなって言ってるようなものじゃないか。

      • by Anonymous Coward

        MSの動機は、Windows10を売りたいとか考えられるけど、Googleの方は動機がわからなく不気味だ。

    • by Anonymous Coward

      新しいバージョンと古いバージョン、対等に扱ってるIT企業なんてあるのかねぇ

      • by Anonymous Coward on 2017年10月23日 18時06分 (#3300324)

        割ける人員に限りがある以上、どうやったって優先順位はつきますね。

      • by Anonymous Coward

        現行OSで必死で売ってる製品を優先しなくてどうするんだ、というくらいあたりまえだよな。
        優先してくれなければ、何のために苦労してWindows7から移行したと思ってるんだ、っていう情シス部員はいると思う。

    • by Anonymous Coward

      だよね
      そもそもGoogoleは古いAndroidのパッチなんて出しもしないくせに

      • Re: (スコア:0, 興味深い)

        by Anonymous Coward

        > そもそもGoogoleは古いAndroidのパッチなんて出しもしないくせに

        グーゴル社がどうなのかは知らないけど、
        Google社のほうだとカネ払って有償ライセンス契約しているベンダーには手厚く長期に渡ってパッチ情報が来るよ
        実際にそれをいつのタイミングで端末に取り込んでリリースするかや、Googleから提示された修正方法に従うかどうかはベンダー次第

        • by Anonymous Coward

          それでいいなら、Windowsの大多数を占めるOEM版は、Microsoftがパッチ提供しないでもいいんですかね?
          Microsoftからはパッケージ版かDSP版だけセキュリティアップデートする方向で。

          • by Anonymous Coward

            MSに俺が作った周辺機器のドライバーの面倒も見ろって言ってるようなものじゃね。

          • by Anonymous Coward

            組込系Windows、とくにファームウェアにWindows含めたベンダー実装を焼きこんでるような環境だと
            現実としてMSではなくベンダーがファーム全体としてアップデートしていて、
            MSが公開するWindowsUpdateと直結したアップデートはされていないケースが非常に多い

            AndroidとWindowsを無理にでも一律比較するというなら、上記のようなWindows環境の場合が妥当

            • by Anonymous Coward

              ライセンス形態の話なんだから、組み込みとかどうでもよくない?
              世の中の大多数のWindowsPCはOSプリインストールになっていて、WindowsはOEMライセンスで提供されてる。
              OEM版では、サポート担当はMicrosoftではなくPCベンダーですよ。

  • by Anonymous Coward on 2017年10月23日 17時09分 (#3300303)

    XPと末期の2000でもそうだった。

    ここに返信
  • Windows 10のバイナリとWindows 7のバイナリを比較したり差分を取ることで、Windows 10だけで修正されている未発表の脆弱性を特定するといったことが簡単に出来るんですか?(比較はともかく差分取れるの?)

    ここに返信
    • by Anonymous Coward on 2017年10月23日 18時40分 (#3300337)

      msdlでぐぐったら幸せになれる。
      そんなこと用のものじゃないから、公言はできないけど。

    • by Anonymous Coward

      Windows10とWindows7じゃバイナリ結構違いそうなもんですけどね
      変更のない共通DLLとかだったらわざわざずらさずに同時にリリースするだろうし

      • by Anonymous Coward

        アプリケーション層になると、結構共通なものが多くて、IE11/VC++ Runtime/.Net Runtimeなんかは基本同一バイナリーだろうし、問題なさげ。
        逆に言うと、OS kernel部分以外だと、セキュリティで狙われるようなモジュールでどこが違うんだという話にもなってくる。

        • XP と Vistaの間、Vista と 7 の間、8と10の間だと .NET の Runtime は、同じファイルは .NET アセンブリのファイルぐらいで、ほぼ別物だぞ。
          でも 7 と 8 はほぼ同じ。Vista と 7 も同じで良さそうなもんだが、かなり違ってる。

          VC++のランタイムは共通ファイルが多い(あくまで多い)

          • by Anonymous Coward

            同じバージョンのものは基本的に同じものですよ。とはいえ、添付されているサポートバージョンがそもそも異なることは多い。
            VC++ Runtimeだと、ver.4.2系はWindowsのバージョンに依存したバージョン違いの別物が添付されている。
            まさか.Net Frameworkで1.x系と2.x系と4.x系の同じファイル名のものを比べているわけではないよね。

            • by Anonymous Coward

              具体的に見ればわかるのに、、、、
              ほとんど同じなのは .NET アセンブリの部分だけだよ。WPF 関連はアセンブリの部分でも XP 、Vista 用と7用は違うものだったりするので、同じじゃなかったりするけどね。なぜか XP と Vista がほぼ同じで、7 だけいろいろチェック処理をはしょってるから比べると面白い。

              そもそも、同じバージョンでも OS によって挙動違う(下回りで使えるAPIが別物)ので、同じもにはできませんのことよ。

  • by Anonymous Coward on 2017年10月23日 19時18分 (#3300353)

    Windows 10のパッチは「随時」提供されることになったはずなのにセキュリティパッチが従来通り月例なのは、まさにここで指摘されているような問題があるからパッチをサポートしている全OSで同時提供するためだと思ってたんだが、結局Windows 10を優先するんだったらもうセキュリティパッチも随時提供にしてほしい。

    ここに返信
    • by Anonymous Coward on 2017年10月23日 20時19分 (#3300373)

      緊急性と対応のしやすさの問題じゃないかな。
      足並み揃えられる間はそうするけど、そんなこといってなれない場合や10以外は対応が困難な場合は10優先するからなって話にしか思えないのだが

      • by Anonymous Coward

        何にでも予算と工数というものがある。IP版とメインストリームの現行版には潤沢な予算があっても、延長サポート落ちしたものについては、そんなに予算もリソースもないからすぐには対応できないということだろう。特にkernel関係は世代間の実装の差が大きいというのも対応の差になっているのだろう。

        • by Anonymous Coward

          定例の奴には予めスケジュールも人員も付けているだろうからね。

          それに緊急で適宜対応しなきゃいけないのに他のバージョンと足並みを揃える為に遅らせるってのは、本末転倒だし。
          それやったらやったで、
          「Windows10ではパッチ出せるのに他と合わせる為にわざと送らせてユーザーを危険に晒した」
          とか言って攻撃するのじゃないかな。

  • by Anonymous Coward on 2017年10月23日 20時33分 (#3300379)

    一番最初に修正が入って実験台になるのがIP版、次に最新版、現行バージョンではないサポート中のバージョンは後回しになっているも驚かないけれどね。

    ここに返信
  • これで文句無いべ?

    ここに返信
  • by Anonymous Coward on 2017年10月24日 0時32分 (#3300435)

    Windows10で大規模検証してから8.1や7にバックポートしてくれてるんだよ。
    きっと…

    ここに返信
  • by Anonymous Coward on 2017年10月24日 7時30分 (#3300464)

    おそらくそうでしょうね。
    何事も、考え方一つですから。

    まぁ最新を優先するのもわかります。

    ここに返信
  • by Anonymous Coward on 2017年10月24日 8時58分 (#3300482)

    何故かそっちに対してはだんまりですからねーw

    ここに返信
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...