2010年06月15日

マイクロソフトは助けてくれない

社内からWindowsOSを排除しようとしてどうのこうのといったニュースが数日前にありましたが、今回は「高い優先度でセキュリティに取り組んでいる」というMicroSoftがどんな具合なのかGoogleの社員が身を持って開示してくれた形となりました。個人的にはとても気分のいい仕返しのように映ります。

どうやら5日間の猶予では優先してるにも関わらず、間に合わないようですね。ワールドカップも始まってるからでしょうか?しかしヘルプやサポセンに脆弱性って、扱いづらいWindowsで困ったことが起きたらいったい何に頼ればいいんでしょうね。

あなたの会社のシステムはWindowsですか?
・・・なるほど、それはちょっと怖いですね。

Windowsのヘルプとサポートセンターに脆弱性--報告したグーグル社員に非難の声も

 Googleのエンジニアが米国時間6月10日、「Windows XP」の脆弱性を公表し、さらにそのエクスプロイトコードを公開した。Microsoftは 5日間の修正期間しか与えらなかったことに対し、Microsoftや外部のセキュリティ研究者らは、Microsoftが推奨している責任ある開示の慣習に従っていないとして非難した。

 Tavis Ormandy氏は5 日、顧客にテクニカルサポートを提供するオンラインの「Windowsヘルプ」および「サポートセンター」機能に脆弱性が存在することを、Microsoftに報告した。その後同氏は10日に、「Full Disclosure」セキュリティメーリングリストへの投稿において、脆弱性の詳細を公表し、概念検証用のコードを公開した。

 同氏は、「動作するエクスプロイトなしで(本件を)報告すれば、無視されていたであろうことを指摘したい」と記してから、同氏の行動は独自の判断に基づくものであり、Googleを代表したものではないと述べた。「このドキュメントはわたし自身の意見を書いたものであり、誰かの代わりに、または誰かを代表しての発言ではない」(Ormandy氏)

 しかしMicrosoftは、Microsoftにパッチを当てる時間を与えずにエクスプロイトを一般に公開するのは無責任な行動であり、それによって膨大な数のコンピュータユーザーが危険にさらされると述べている。

 MicrosoftのJerry Bryant氏は、Microsoft Security Response Center(MSRC)のブログ投稿に、「責任ある開示は、コンピュータのエコシステムと個々のコンピュータユーザーを被害から保護するものである」と記した。

 Microsoftのセキュリティアドバイザリによると、攻撃者はこの脆弱性を利用することにより、ホワイトリストフィルタを回避し、Windows XPまたは「Windows Server 2003」の動作するコンピュータを脆弱性を悪用したウェブサイトへと誘導して、コンピュータの制御を奪うことができるという。Microsoftは声明で、「広範囲にわたる攻撃の恐れがある」と述べた。


posted by media_aidem at 16:57 | Comment(0) | TrackBack(0) | セキュリティ
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス: [必須入力]

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。