パスワードを忘れた? アカウント作成
11887100 story
Google

Google、OS Xの未解決の脆弱性を公開 35

ストーリー by hylom
脆弱性を公開せざるを得ない 部門より
あるAnonymous Coward 曰く、

先日、GoogleがWindowsの未解決の脆弱性を公開して騒動になったが(過去記事、今度はMac OS Xの未解決の脆弱性3件を公開したという(ITmedia)。

これらの脆弱性は昨年10月にAppleに報告されたが、90日たってもパッチがリリースされなかったとして一般への情報公開となったという。

これらの脆弱性は、Google Project Hostingのgoogle-security-researchプロジェクトのIssuesページで公開されている。IDが130、135、136のものがそれで、1つはnetworkd、2つはIOKitに関するものとなっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ヘーキヘーキ (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2015年01月27日 13時27分 (#2750811)

    CMでウイルスとかそういうものには絶対かからないって言ってたから問題なし

    • Re:ヘーキヘーキ (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2015年01月27日 13時35分 (#2750815)

      「Macは大丈夫(かからないとは言っていない)」

      親コメント
    • by Anonymous Coward

      当のマカーが忘れているだろうに、他人事だと記憶力が良くなるのかな?

      あのCM、いつごろ放映してたんだっけ?

  • by iwakuralain (33086) on 2015年01月27日 14時47分 (#2750843)

    自身が見つけた脆弱性が90日で修正されなくて
    公開とかされると面白い展開ではあるんだけど

    • by Anonymous Coward

      Chrome40のアップデートを見ると、だいたい2カ月くらいで直してますね。
      ってことは、Chromeは最長でも90日でどんどんアップデートされていくってことになるのかも。

      Androidが90日毎にアップデートされている様子は無いけど、サポートはやめたというWebkitの脆弱性は90日以上たったら公開するのかな。

      • by Anonymous Coward

        GoogleがサポートするAndroidは最新版とその一つ前の版のみ [google.com]というポリシーということ。また、Jellybeanへのパッチを提供しないことは2年以上たった古いコードであるためとのこと。
        Googleが他社のOSについてもこのポリシーに則ってリリースされて2年以内の直近2バージョンのOSの脆弱性のみを公表しているならフェアですけど、そうでないならアンフェアですよね。

        だって、古いOSは最新版にアップデートせねばならないんでしょ?
        2年以上たったコードの修正は困難だからするひつようはないんでしょ?

        • by Anonymous Coward

          何を言っているのかさっぱりわからないのだが。
          仮にGoogleが"リリースされて2年以内の直近2バージョンのOSの脆弱性"以外を公表していたとして、フェアでないのは、リリースされて2年以上たつOSの脆弱性公表をGoogleが非難した場合だけだよね。
          Googleは古いOSは俺は知らん。Googleがメンテナンスしている端末ならアップデートしろ。それ以外は提供元の責任だ、といっているだけ。

        • by Anonymous Coward

          “ベンダーがサポートしているOSの脆弱性を公表する”という姿勢で一貫していれば、フェアと言えるのでは

    • by Anonymous Coward

      このことですかね。Androidの脆弱性報告を受けるも、重要度低とみなして90日過ぎても対応してないってやつ。
      http://www.itmedia.co.jp/enterprise/articles/1501/27/news047.html [itmedia.co.jp]

      いいかげん、利用環境も規模もサポート方針も異なるソフトウェア達に
      自分は対応できるからといって、オレオレルールを強いるのはやめるべき。

      AppleやMSが数年ごとにOS刷新して互換性捨てたら、そりゃ脆弱性対応は
      捗るかもしれんがそんなこと望んでいる人はあまりいないと思うけどね。

  • by Anonymous Coward on 2015年01月27日 13時33分 (#2750813)

    β版のOS X Yosemite 10.10.2ではいずれの脆弱性も修正されているという。

    つまり…我々がその気になれば脆弱性の修正は10年20年後ということも可能だ ...

  • by Anonymous Coward on 2015年01月27日 13時34分 (#2750814)

    いつ配布されるかは不明だけどね。

  • by Anonymous Coward on 2015年01月27日 13時38分 (#2750817)

    >報道によると、β版のOS X Yosemite 10.10.2ではいずれの脆弱性も修正されているという。

    この10.10.2 Betaのアップデート、先日来たって人もいるよね。(私がそう)
    ベータ版アップデートがApp Storeで(個々のアカウントに)配布されるか否かは、かつてYosemite Public Betaをダウンロードしたか否かで決められるのかしら。

    • by Anonymous Coward

      正規版のアップデートは、ちゃんとテストした後だから・・・ベータ版で問題がなければ数日後には公開されるかと思うよ。
      ベータ版の方が修正が早いのは、簡易テストしかしてないというのが大きいからね。

      • by Anonymous Coward

        だからテスターに配布して(略

        • by Anonymous Coward

          Apple Developer Programやベータ版配布専用サイトのようなものを介すわけでもなく、
          それでも一部の人のMacにはしれっとApp Storeのソフトウェアアップデートに現れるようになるフラグは何だろうか、という話です。
          ベータ版と正式版の違いについてなんて語っていません。

      • by Anonymous Coward

        ほんとうにちゃんとテストしてます?アップルのテストに参加してバグレポート送った人、ほんとうにいるのなら教えてください。

  • by Anonymous Coward on 2015年01月27日 20時25分 (#2751077)

    ここまで堕ちたかGoogle

    • by Anonymous Coward

      落ちるも何も、最初からだって google の体質は

  • by Anonymous Coward on 2015年01月27日 20時37分 (#2751092)

    脆弱性の存在の公開はまだしも、なぜ実行可能な攻撃コードの公開まで90日で行う必要があるのだろう?
    理由が「マイルールの90日過ぎたから」以外になんかあるのだろうか?

    • by Anonymous Coward

      攻撃方法が判らなければ防衛方法が思いつかないから。

      • by Anonymous Coward

        だったらベンダーにだけ伝えれば良いだけで、公開する理由にはならないだろう。

        • by Anonymous Coward

          配慮して最初はベンダーだけに伝えても放置されたから公開したんでしょう

          • by Anonymous Coward

            そんな下衆な理由なんですか。ガキの喧嘩ですね。

            • by Anonymous Coward

              Googleの対応を批判している人は皆Googleが脆弱性を公開しさえしなければ
              攻撃者が独力で脆弱性を発見することはありえないって前提で話しているっぽいのがよくわからない。

              • by Anonymous Coward

                誰もそんな前提で話をしていない。
                独力で脆弱性を発見できる技術を持っている者もGoogleの暴挙が無ければ長い間気付かなかったかもしれない。
                独力で脆弱性を発見できない技術レベルの低い者もGoogleの暴挙のせいで悪事をはたらく気になるかもしれない。

                対応方針からGoogleのみが得をするプロジェクトなのは明らか。多くの一般ユーザーを危険に晒してね。

              • by Anonymous Coward

                典型的な Google 信者だな
                目が曇って思考停止している

          • by Anonymous Coward

            いや、単純に他社の足を引っ張るという理由のみ。ボランティアでやっているわけじゃないから。
            自社の脆弱性修正に関しては甘いようだしw

  • by Anonymous Coward on 2015年01月27日 22時14分 (#2751158)

    既読機能を付けても、受け入れられなければスルーされる文化ができますから。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...