reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 先日、GoogleがマイクロソフトのOSであるWindowsのゼロデイ脆弱性に関する情報を公開したことをお伝えしましたが、今度はAppleのOS Xのゼロデイ脆弱性の公開を行ったことがわかりました。
 
google-disclose-apple-vuln01.jpg


 公開したゼロデイ脆弱性は3つ。
 
 いずれも、2014年の10月にGoogleの「Project Zero」チームが発見し、Appleに伝えられています。
 
 Project Zeroでは『90日を過ぎるとそのゼロデイ脆弱性情報を公開する』という基準があり、それにしたがって公開した模様です。
 
 幸いなことにどの脆弱性も悪用するには直接端末の操作が必要であることから、深刻なものではなさそうです。
 
 とはいえ、現時点でOSにセキュリティ上の欠陥があることに変わりはありません。これに対し、Appleはどうやら次のアップデートである「OS X 10.10.2」で対応するようです。

Latest OS X 10.10.2 beta kills Google-disclosed vulnerabilities dead | iMore
What's more, based on the latest build of OS X 10.10.2, seeded yesterday to developers, Apple has already fixed all of the vulnerabilities listed above. That means the fixes will be available to everyone running Yosemite as soon as 10.10.2 goes into general availability.



 以前のエントリでもお伝えしましたが、Googleは相手がマイクロソフトだろうがAppleだろうがおかまいなしに90日たてばゼロデイ脆弱性を公開するという方針を貫いています。

 相手がゼロデイ脆弱性に対し何の対応もとらないようなときには効果があるかもしれませんが、前回のマイクロソフトといい、今回のAppleといい、脆弱性の修正がまもなく完了するという時点で有無を言わさず公開する姿勢にはやや疑問があります。

Androidの脆弱性は放置しつつ、マイクロソフトの脆弱性は容赦なく公開するGoogle|I believe in technology
今回、マイクロソフトは90日以内である1月の修正パッチで対応を完了する予定でしたが、互換性の問題から提供をいったん中止せざるをえませんでした。そして、そのことをGoogleに伝えていたのですが、Googleはあくまでも自社の定めた基準通りに公開したのです。



 結果として被害を被るのは利用者です。
 
 誰のためにゼロデイ脆弱性を開示するのか?Googleには現在の方針に対する再考を願いたいものです。

関連記事


Kitkat以外全部危険 全Androidデバイスの86.4%に機密情報漏えいの可能性|I believe in technology
まだ国内IT系サイト等ではほとんど取り上げられていないのですが、2014年6月23日に、IBMの情報セキュリティプロフェッショナル向けのサイトで、Kitkat以外のすべてのAndroidのバージョンに機密情報漏えいにつながる脆弱性があることが公表されました。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。