Google、OS Xの未解決の脆弱性を公開 35
ストーリー by hylom
脆弱性を公開せざるを得ない 部門より
脆弱性を公開せざるを得ない 部門より
あるAnonymous Coward 曰く、
先日、GoogleがWindowsの未解決の脆弱性を公開して騒動になったが(過去記事、今度はMac OS Xの未解決の脆弱性3件を公開したという(ITmedia)。
これらの脆弱性は昨年10月にAppleに報告されたが、90日たってもパッチがリリースされなかったとして一般への情報公開となったという。
これらの脆弱性は、Google Project Hostingのgoogle-security-researchプロジェクトのIssuesページで公開されている。IDが130、135、136のものがそれで、1つはnetworkd、2つはIOKitに関するものとなっている。
ヘーキヘーキ (スコア:3, おもしろおかしい)
CMでウイルスとかそういうものには絶対かからないって言ってたから問題なし
Re:ヘーキヘーキ (スコア:2, おもしろおかしい)
「Macは大丈夫(かからないとは言っていない)」
Re:ヘーキヘーキ (スコア:2)
実際「かからない」とは言ってなくて「ウイルスも大丈夫」とかそういう表現だったしなあ。
本文だか解説を読むと「Windows用(PC用だったかも)のウイルスには感染しません」とかそういう風に書いてあったけど。
#CMといえば「噂のドリームキャスト」でも「もう安心」とか「大丈夫」とかいう歌詞があった気がする
Re: (スコア:0)
信じる心
Re:ヘーキヘーキ (スコア:2, おもしろおかしい)
もうMacにありがとうって言葉をかけるのに疲れたよ、パトラッシュ・・・・
Re: (スコア:0)
当のマカーが忘れているだろうに、他人事だと記憶力が良くなるのかな?
あのCM、いつごろ放映してたんだっけ?
Re:ヘーキヘーキ (スコア:2)
「2012年(うろ覚え)に取り消した」とかいう内容の記事を最近どこかで読んだけど、
その年に全く思い当たるところがありませんでした。まあ終了とか取り消しの類はアナウンスなしに突然実行する会社ですからね。
CM自体はあのキャンペーン(「Real People」の時だっけ)が終了した時に終わったんじゃないでしょうか
Re: (スコア:0)
https://www.youtube.com/watch?v=Y6rna2zNCi0 [youtube.com]
2007年1月にアップロードされているので、その頃かと。最後にiMacが出るからそれでいつごろのものなのか判定できるかも。
Google自身も (スコア:3)
自身が見つけた脆弱性が90日で修正されなくて
公開とかされると面白い展開ではあるんだけど
Re: (スコア:0)
Chrome40のアップデートを見ると、だいたい2カ月くらいで直してますね。
ってことは、Chromeは最長でも90日でどんどんアップデートされていくってことになるのかも。
Androidが90日毎にアップデートされている様子は無いけど、サポートはやめたというWebkitの脆弱性は90日以上たったら公開するのかな。
Re: (スコア:0)
GoogleがサポートするAndroidは最新版とその一つ前の版のみ [google.com]というポリシーということ。また、Jellybeanへのパッチを提供しないことは2年以上たった古いコードであるためとのこと。
Googleが他社のOSについてもこのポリシーに則ってリリースされて2年以内の直近2バージョンのOSの脆弱性のみを公表しているならフェアですけど、そうでないならアンフェアですよね。
だって、古いOSは最新版にアップデートせねばならないんでしょ?
2年以上たったコードの修正は困難だからするひつようはないんでしょ?
Re: (スコア:0)
何を言っているのかさっぱりわからないのだが。
仮にGoogleが"リリースされて2年以内の直近2バージョンのOSの脆弱性"以外を公表していたとして、フェアでないのは、リリースされて2年以上たつOSの脆弱性公表をGoogleが非難した場合だけだよね。
Googleは古いOSは俺は知らん。Googleがメンテナンスしている端末ならアップデートしろ。それ以外は提供元の責任だ、といっているだけ。
Re: (スコア:0)
“ベンダーがサポートしているOSの脆弱性を公表する”という姿勢で一貫していれば、フェアと言えるのでは
Re: (スコア:0)
このことですかね。Androidの脆弱性報告を受けるも、重要度低とみなして90日過ぎても対応してないってやつ。
http://www.itmedia.co.jp/enterprise/articles/1501/27/news047.html [itmedia.co.jp]
いいかげん、利用環境も規模もサポート方針も異なるソフトウェア達に
自分は対応できるからといって、オレオレルールを強いるのはやめるべき。
AppleやMSが数年ごとにOS刷新して互換性捨てたら、そりゃ脆弱性対応は
捗るかもしれんがそんなこと望んでいる人はあまりいないと思うけどね。
直す…だがそれは次のOSからだ! (スコア:0)
β版のOS X Yosemite 10.10.2ではいずれの脆弱性も修正されているという。
つまり…我々がその気になれば脆弱性の修正は10年20年後ということも可能だ ...
Re: (スコア:0)
180日バージョン
QuickTimeのゼロデイ脆弱性情報が公表される
http://apple.srad.jp/story/14/08/05/0517211/ [srad.jp]
ベータ版10.0.2では修正されています (スコア:0)
いつ配布されるかは不明だけどね。
オフトピ気味だけど (スコア:0)
>報道によると、β版のOS X Yosemite 10.10.2ではいずれの脆弱性も修正されているという。
この10.10.2 Betaのアップデート、先日来たって人もいるよね。(私がそう)
ベータ版アップデートがApp Storeで(個々のアカウントに)配布されるか否かは、かつてYosemite Public Betaをダウンロードしたか否かで決められるのかしら。
Re: (スコア:0)
正規版のアップデートは、ちゃんとテストした後だから・・・ベータ版で問題がなければ数日後には公開されるかと思うよ。
ベータ版の方が修正が早いのは、簡易テストしかしてないというのが大きいからね。
Re: (スコア:0)
だからテスターに配布して(略
Re: (スコア:0)
Apple Developer Programやベータ版配布専用サイトのようなものを介すわけでもなく、
それでも一部の人のMacにはしれっとApp Storeのソフトウェアアップデートに現れるようになるフラグは何だろうか、という話です。
ベータ版と正式版の違いについてなんて語っていません。
Re: (スコア:0)
ほんとうにちゃんとテストしてます?アップルのテストに参加してバグレポート送った人、ほんとうにいるのなら教えてください。
Re:オフトピ気味だけど (スコア:2)
いても多分NDAで何も言えないでしょうね。
完全に足引っ張る目的 (スコア:0)
ここまで堕ちたかGoogle
Re: (スコア:0)
落ちるも何も、最初からだって google の体質は
なぜ攻撃コードの公開まで (スコア:0)
脆弱性の存在の公開はまだしも、なぜ実行可能な攻撃コードの公開まで90日で行う必要があるのだろう?
理由が「マイルールの90日過ぎたから」以外になんかあるのだろうか?
Re: (スコア:0)
攻撃方法が判らなければ防衛方法が思いつかないから。
Re: (スコア:0)
だったらベンダーにだけ伝えれば良いだけで、公開する理由にはならないだろう。
Re: (スコア:0)
配慮して最初はベンダーだけに伝えても放置されたから公開したんでしょう
Re: (スコア:0)
そんな下衆な理由なんですか。ガキの喧嘩ですね。
Re: (スコア:0)
Googleの対応を批判している人は皆Googleが脆弱性を公開しさえしなければ
攻撃者が独力で脆弱性を発見することはありえないって前提で話しているっぽいのがよくわからない。
Re: (スコア:0)
誰もそんな前提で話をしていない。
独力で脆弱性を発見できる技術を持っている者もGoogleの暴挙が無ければ長い間気付かなかったかもしれない。
独力で脆弱性を発見できない技術レベルの低い者もGoogleの暴挙のせいで悪事をはたらく気になるかもしれない。
対応方針からGoogleのみが得をするプロジェクトなのは明らか。多くの一般ユーザーを危険に晒してね。
Re: (スコア:0)
典型的な Google 信者だな
目が曇って思考停止している
Re: (スコア:0)
いや、単純に他社の足を引っ張るという理由のみ。ボランティアでやっているわけじゃないから。
自社の脆弱性修正に関しては甘いようだしw
2015年は脆弱スルーが浸透した年でした (スコア:0)
既読機能を付けても、受け入れられなければスルーされる文化ができますから。