5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【セキュリティ】グーグル、深刻な脆弱性は60日以内に修正するようベンダー各社に要請(10/07/22)

1 : ◆amidaMovTg @あみだくじψ ★:2010/07/22(木) 21:37:57 ID:??? ?2BP(100)
 Googleはソフトウェアメーカーに対し、深刻な脆弱性の修正に60日という期限を設けるよう求めるとともに、期間内に
修正されない場合はGoogleが脆弱性の情報を公開すると警告している。

 Googleのセキュリティチームは、米国時間7月20日付のブログ投稿の中で、同社がソフトウェアベンダーとの間で
定めている「行動規則」(rules of engagement)に加えた変更点を説明した。この行動規則は、同社がベンダー各社に
脆弱性を報告する方法とタイミングについて定めたものだ。同チームは、セキュリティの専門家が「責任ある開示」の
ポリシーに従うことは、必ずしもエンドユーザーにとって最善の策にならないと主張している。このポリシーの下では、
脆弱性は非公開のままベンダーに報告され、報告した側の研究者は、当のセキュリティホールが修正されるまで
詳細情報を一般に公開せず待つことになる。

 Googleのセキュリティチームは、Google Online Security Blogで次のように書いている。「『責任ある』開示という
大義名分を掲げるあまり、無期限に、時には何年も脆弱性の修正が遅れてしまうベンダーが増えている。こうして
時間がたつ間に、倫理意識を持った研究者が使うものと同じツールや手法を用いる悪意あるユーザーによって、
これらの脆弱性が再発見され、悪用される場合もある」

 今回の投稿では、Googleの従業員であるTavis Ormandy氏が執筆者として名を連ねている。同氏は6月、責任あ
開示についてGoogleがこれまで定めていたガイドラインに従わなかったとして、批判を受けた人物だ。Ormandy氏は、
「Windows XP」における深刻なセキュリティ脆弱性をMicrosoftに報告し、その5日後にこの脆弱性の分析結果と
攻撃用の概念実証コードを、あるセキュリティ研究メーリングリストに公開した。

 Googleのセキュリティチームは、ベンダー各社について、研究者と同様に責任を持って行動するとともに、迅速に
問題に対処する必要があると述べている。したがって、Googleは今後、セキュリティ上の脆弱性は一義的には
ベンダーに開示されるものの、期限までに修正が公開されない場合、脆弱性は一般向けに開示されるべきだと
の立場を取っていくという。

http://japan.cnet.com/news/sec/story/0,2000056024,20417192,00.htm

2 :名無しさん@お腹いっぱい。:2010/07/22(木) 22:27:23 ID:???
グーグルとマイクロソフトの喧嘩が始まったw

3 :名無しさん@お腹いっぱい。:2010/07/23(金) 00:14:37 ID:???
ちなみに日本国内では馬鹿正直にベンダーに報告すると逮捕される

4 :名無しさん@お腹いっぱい。:2010/07/23(金) 01:43:20 ID:???
60日という期限を決めてるのにMSに対しては5日しか猶予与えなかったのかよ

5 :名無しさん@お腹いっぱい。:2010/07/23(金) 06:31:35 ID:???
Chrome OSで、5日以内というポリシーを貫けるかな?

6 :名無しさん@お腹いっぱい。:2010/07/23(金) 09:55:54 ID:???
アップルは眼中にすらないと言うことか

7 :名無しさん@お腹いっぱい。:2010/07/23(金) 12:01:45 ID:???
Appleそのものが脆弱性みたいなもんだからな

8 :名無しさん@お腹いっぱい。:2010/07/23(金) 23:34:45 ID:???
マイクロソフトかよw

9 :名無しさん@お腹いっぱい。:2010/07/24(土) 01:02:21 ID:???
そして60日後・・・

再びGoogleの猛攻を受けることになるXPであった

4 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)