パスワードを忘れた? アカウント作成
12644410 story
バグ

2015年に脆弱性の報告件数が多かった製品は? 46

ストーリー by hylom
参考になるようなならないような 部門より
headless 曰く、

CVE Detailsが製品別にまとめた2015年の脆弱性報告件数トップ50のリスト「Top 50 Products By Total Number Of "Distinct" Vulnerabilities in 2015」を公開した。1位は384件のMac OS X、2位が375件のiOS、3位が314件のFlash Playerだったそうだ(VentureBeatBetaNewsThe Register)。

4位~6位は246件でAdobeのAIR SDK、AIR、AIR SDK & Compilerが並び、7位以下はInternet Explorer(231件)、Chrome(187件)、Firefox(178件)、Windows Server 2012(155件)、Ubuntu Linux(152件)が続く。12位~17位は151件~138件でWindows OSの各バージョンが占め、18位にはWindows VistaとSafariが135件で並んでいる。トップ50の製品をベンダーごとに集計すると、Microsoftが1561件で1位、Adobeが1504件で2位、Appleが1147件で3位となり、4位以下はOracle(370件)、Google(317件)、Mozilla(301件)が続く。

ただし、脆弱性は複数の製品で重複しているものもあり、51位以下の製品の脆弱性はカウントされない。トップ50に入っているベンダーについて、ベンダーごとにまとめられた脆弱性報告件数の総数をみると、1位のApple(654件)にMicrosoft(571件)が続き、3位にCisco(488件)が入ってくる。4位以下はOracle(479件)、Adobe(460件)、Google(323件)、Mozilla(188件)が続いている。

また、脆弱性の区分別でトップ3をまとめると、「DoS」はApple(338件)、Microsoft(230件)、Cisco(187件)であり、「Code Execution 」はAdobe(334件)、Microsoft(325件)、Apple(306件)。「Overflow 」ではApple(279件)、Microsoft(172件)、Adobe(129件)、「Memory Corruption」ではApple(277件)、Microsoft(245件)、Adobe(105件)などとなっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by sunow (19805) on 2016年01月08日 15時00分 (#2946338)

    Windowsの各バージョン以外に「Windows」があったり、AppleTVが2つあったり、
    適当過ぎる。
    どういう視点で比較したいのか。

    • by Anonymous Coward

      AppleTVは

      A. 初代 - おそらくサポート切れ
      B. 2・3世代目 - iOS簡易版
      C. 4代目 - tvos(AppStore対応など)

      と3種類あって、それぞれ全く別物。掲載されてる2つはBとCなのでしょうがないかなとは思う。
      でもなぜか、Bがアプリケーションになってる。OSと認めてないのか。

    • by Anonymous Coward

      市場におけるシェアも含めればApple製品の品質はかなり悪いと思う。

    • by Anonymous Coward

      比較というよりはそこにあったデータを単純に集計しただけなんだろうね

      ランキングにしたいならもうちょっとまじめにやれと。

  • linuxでもデスクトップやってるのは脆弱性にひっかかりますね。 しかしDebianまでも、、、
  • by matsuki (28954) on 2016年01月09日 0時14分 (#2946615) 日記

    何を元にカウントしているのかと思ったら CVE のカテゴリ分けのような感じですね.
    この状態でカウントする意味あるのだろうか?
    純粋に OS 本体なりアプリなりを切り分けてカウントしないと意味ないよね.

    これだとパッケージを大量に持っている物が数が多くなる傾向にあるだけのような気が.
    debian や ubuntu が fedora に比べて多いのはそういうことだよね?
    もちろうんそれだけとは言わないけどね.

    MySQL で何かが見つかったら MySQL を含んでいる Linux ディストリビューションもカウントされているみたいだし.
    ひとつの CVE が何重にもカウントされているよね.

  • by Anonymous Coward on 2016年01月08日 14時12分 (#2946290)

    プギャーしようかと思ったけど、Windowsはバージョンごとに別カウントなのはどうよ。

    • by Anonymous Coward on 2016年01月08日 14時20分 (#2946295)

      Vista以降はNT6カーネルの系列だから、たいてい同じ内容がかぶってるだろうなぁ。
      単純に合算したらWindowsは明らかに不利だろう
      OS Xのサポートは大体最新2つぐらいだろうけど、OS X >> 8.1+10なので、やっぱりOS Xに問題が多いよなぁ

      親コメント
      • by Anonymous Coward

        10はNT 10.0だぞ
        初期ビルドこそNT 6.4だったが、プラットフォーム統一でカーネルにも手が加わってる (Windows OneCore)。
        まあ、10がモバイル、組み込みにも進出できたのはカトラーの移植性重視設計の賜物だと思うけどな。そしてWindows CE (Windows Embedded Compact) は静かにその役割を終える。

        • by Anonymous Coward

          内部バージョン番号は意味をなさなくなるとMSが自分で言っていた気がするけどソースが見つからない。

        • by Anonymous Coward

          言うと思った。
          マイクロカーネル化はVista/7世代で行われてるから、実際に製品に生かされたのが10ってだけで、構造的にはNT6の延長でしかないよ。

          • by Anonymous Coward

            根拠も示さないで個人的な思い込み書かれても役に立たんのですよ。

            NT3.1のリリースされた時期がNetBSDとほぼ同時期である事を考えれば移植性重視設計ってのは
            特筆するようなもんでもないのでは?

            Vista/7世代でのマイクロカーネル化って具体的になんの話ですか?

            • by Anonymous Coward

              Vista/7世代でのマイクロカーネル化

              MinWinの事を言ってるんじゃない?

            • by Anonymous Coward

              NTは最初からマイクロカーネルですね

    • by Anonymous Coward on 2016年01月08日 14時28分 (#2946305)

      MacOSが現在サポート中のMavericks、Yosemite、El Capitanで同じ脆弱性が見つかった場合「3」とカウントされてるなら問題ですが、そうでないなら関係ねーだろ

      親コメント
    • by Anonymous Coward

      糞リンゴであることにかわりない。

      • by Anonymous Coward

        公然とバックドアを仕掛けてる亜細亜のメーカーも見習いたいもんですね

    • by Anonymous Coward

      代わりに。
      Apple m9(^Д^)プギャー

  • by Anonymous Coward on 2016年01月08日 14時30分 (#2946308)

    Mac OS XやiOSはDosが半分以上を占めるわけですが、Flash PlayerやAirはCode Executionがとても多いです。
    順位的にはApple製品が上ですが、危険度ではAdobeが断然上です。

    • JVNDB RSS Feedで流れてくんの眺めてるとWiresharkがしょっちゅう出てくる気がする

      親コメント
    • by Anonymous Coward

      一応ブラウザがなんとかしてくれるはずです。
      今のメジャーなブラウザはフラッシュをかくr…ではなく保護するようになっている。

    • by Anonymous Coward

      Flash Playerは既に捨てちゃうって手が使えるから傷は浅い。
      まぁ、その立役者がAppleなのが皮肉だが。

  • by Anonymous Coward on 2016年01月08日 14時38分 (#2946316)

    それってbind何個分?

  • by Anonymous Coward on 2016年01月08日 14時40分 (#2946318)

    そして標的逸らしに使われるAdobeまで見えた

    • by Anonymous Coward

      Oracle もその標的逸らしに加わるんだろうな。

      さて、Oracle 製品としてカウントされているもののうち、Java はどのくらいの割合なんだろう。
      いろいろと Java に関する脆弱性が報告されているので、大部分が Java だったりするのでしょうかね?

    • by Anonymous Coward

      脆弱性の多さに言及するAdobeヘイトは良く見かけるけど、脆弱性の多さに言及するAppleヘイトは殆ど見られないので、ユーザーは良くも悪くも訓練されているなぁ…と。

  • by Anonymous Coward on 2016年01月08日 14時50分 (#2946327)

    このスレは荒れる

  • by Anonymous Coward on 2016年01月08日 17時23分 (#2946428)

    内容的にMacOSXのサブセットからスタートしてるのにこの鬼のような脆弱性
    Androidがずいぶん少ないのになんでiOSはこんなに脆弱性まみれなんだ
    まともに作れや

    • by Anonymous Coward on 2016年01月08日 17時46分 (#2946444)

      Apple信者はOSXやiOSにどれだけ脆弱性があろうとも声高らかにWindowsの脆弱性を訴え
      Microsoftを非難しながらApple製品を購入するから問題無いのです。

      親コメント
      • by Anonymous Coward

        どっちも同じように見えるけどね

        • by Anonymous Coward

          >Apple信者はOSXやiOSにどれだけ脆弱性があろうとも声高らかにWindowsの脆弱性を訴え

          このapple信者の主張は、apple自身が旗振り役を少なくとも過去はやっていた。
          一方で、OSXやiOSの脆弱性を理由にwindowsを買うってのはあまり聞かない話だよね。

          でも、あなたには同じように見えるんだ。

  • by Anonymous Coward on 2016年01月08日 17時56分 (#2946452)

    それに比べてLinuxは超安定してるね

    • by Anonymous Coward

      >11 Ubuntu Linux Canonical OS 152
      >12 Windows 8.1 Microsoft OS 151
      Windowsより多いやん…

      • by Anonymous Coward

        Opensuse Novell OS 121
        Debian Linux Debian OS 111
        やっぱりUbuntu と Windows は使うものじゃないね

    • by Anonymous Coward

      msdos なんてゼロしゃないか。なんて堅牢なosなんだ。

      • by Anonymous Coward

        レガシーで万全! これを5インチか8インチのFDで運用してこそ味が出る。。。

        # メインメモリーはなべて640kb。HMAの余白は敵だ。GUI不許可。

  • by Anonymous Coward on 2016年01月08日 21時32分 (#2946553)

    OSの脆弱性って、そもそも競い合う(悪い方に競い合う)ものなのでしょうか

    罵り合うために脆弱性の数を比較しているのはそもそも間違いです

    「悪い部分は良い部分よりも目立つ」のはそもそも仕方のないことです
    相手の良い部分を見ることがそもそも大切なはずでは

    • by Anonymous Coward

      サポート期間を明示してくれて、その期間中放置されなきゃどうでもいいと思う。
      まあ深刻度に応じてアナウンスしてくれればいいよ。

      ハードと違って更新可能なのでリコールみたいな回収交換は要らないかな。

    • by Anonymous Coward

      脆弱性での競争だったら、発表から修正を配布するまでとか報告を受けてから対応完了するまでの期間に注目したいところ。
      謝礼金の支払い総額や報告時の対応なんかも競争のネタにはなるんじゃないですか?

  • by Anonymous Coward on 2016年01月08日 23時59分 (#2946611)

    たいとるおんりー

  • by Anonymous Coward on 2016年01月09日 0時49分 (#2946624)

    これだけ大量の脆弱性がありながら被害報告がほとんどでないのは、攻撃者に知られてないからか、そもそも攻撃しにくい脆弱性だからか。
    脆弱性のあるもので能動的に悪意のあるプログラムを動かさない限り問題は起きそうにないのかな。
    古いFlashでやばいウェブ開くとか。

    • by Anonymous Coward

      Flash捨てたいです。

      マイナンバーの為にActive Directoryに属するPCの一部を全く別の
      ネットワークにうまく切り分けようと頑張って、結局まったくだめ
      だったのですが、
       
      その理由は、
      ・ADはDomain Usersに規律の有るファイル共有の恩恵を与えますが、
       それはDomain Adminsがざるである(無制限にアクセス可能で何でも
       有り)事が前提の様で有る。
      ・無制限アクセス可能のDomain Adminsの振る舞いをふさぐと(portを
       ふさぐと)ファイル共有もふさがれ、ふさがずファイル共有を有りに
       すると、全体的に見てまったく別のネットワークにならなくなる。
      からでした。
       
      Flashも規

  • by Anonymous Coward on 2016年01月09日 10時21分 (#2946726)

    OS Xの特に危険(スコア9以上)な脆弱性のリスト [cvedetails.com]を見ていたら、Adobe Reader/Acrobatの脆弱性が23件も挙がっている。
    OS XにはReaderもAcrobatもバンドルされていないから、ここにカウントするのは明らかにおかしい。

    iOSやWindowsもこんな感じで数字おかしいんじゃないの。

    • Adobe Readerが必須アプリと考えるのもわからなくはないけど、プラットフォームの脆弱性としてカウントされるとわけがわからなくなる。

      あるOSの脆弱性をあるアプリの脆弱性が突くというのはあるにしてもカウント方法をわかりやすく明示しないと意味がありませんね(元記事にあるかもしれないけど、数字は一人歩きするので)。

      親コメント
  • by Anonymous Coward on 2016年01月09日 15時42分 (#2946861)

    雑な集計のようなので細かい数字を気にするのは無意味として、
    OS Xが少々多いのを除けば、主要OS・ブラウザはどっこいどっこいな数といっていいんじゃないかな。

    主要OS:
    >1 Mac Os X Apple OS 384
    >11 Ubuntu Linux Canonical OS 152
    >12 Windows 8.1 Microsoft OS 151

    主要ブラウザ:
    >7 Internet Explorer Microsoft Application 231
    >8 Chrome Google Application 187
    >9 Firefox Mozilla Application 178

    どれを使ってもそんなに変わらんということやね。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...