2019年に報告された脆弱性が最も多い製品はAndroid 93
ストーリー by headless
製品 部門より
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート、 9to5Googleの記事)。
データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。
一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。
なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。
一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。
なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
Android 10なら安心 (スコア:3, 参考になる)
昔のAndroidはメーカーがパッチを出すまで3~6ヵ月かかったり、毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、販売終了から1年ぐらいでパッチを全く出さなくなったりしたので、使い物にならず、セキュリティ意識が高い人はiPhone一択でした。
しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。
つまりはメーカー問わずに月例パッチを毎月適用できるようになったわけです。
脆弱性が多いとはいっても、1か月で修正されるので、Windowsと同程度には安全ではないでしょうか。
Re:Android 10なら安心 (スコア:4, 参考になる)
しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。
ただしハードごと固有のドライバ周りを除く
をつけないと
つまりドライバ周りの脆弱性はあいも変わらず
3~6ヵ月かかったり、
毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、
販売終了から1年ぐらいでパッチを全く出さなくなったり
Qualcommとかがクローズドソースもののアップデートを出さなければ
たとえ海外版でBootloader Unlockして自前で焼ける環境であったとしても更新不能
Android 10でも本質的には解消しないんじゃいかな
# 割り切って遊び道具にする分には引き続き楽しめるとは思う
Re:Android 10なら安心 (スコア:1)
メーカー提供のドライバーから改造しているのなら、という条件をつけないと。
AndroidのデバドラはLinux kernel用ドライバーとほぼ同義で、ディスプレイドライバーが違う他はデーモン類が専用で、独自機能の実装やチューニングによってそれらを改造する必要が生じているのか次第。