Apple、時価総額に続きソフトウェア脆弱数でも Microsoft を追い抜く 60
ストーリー by reo
次は何を追い抜くのかな 部門より
次は何を追い抜くのかな 部門より
ある Anonymous Coward 曰く、
Secunia の最新の調査結果 (PDF) において Apple のソフトウェア脆弱性数が Microsoft を抑えて首位になったとの事です (CNET Japan の記事) 。
以前にも比較的脆弱であると指摘されていた Apple のソフトウェア製品ですが、シェアの上昇に後押しされる形でついに首位の座に上り詰めました。
やはりシェアが上がってくるとどんなプラットフォームでも油断は出来なくなるようです。一部の iPhone ユーザーにとっては堅牢になりすぎると逆に困ってしまうかも知れませんが…。
MSはけっこう優秀じゃないですか? (スコア:4, 参考になる)
2005年の段階で抜いてますね。
それ以前はわかりません。
2006年はMSが抜いた瞬間がありますが、その後はAppleとOracleでトップ争い
じゃないですか。
シェアとか、販売数が増えたから脆弱性数も増えたというのは誤りで、
もともと多かったんですよね。
ソフト1つあたりのCVEベースの数でいえば、Windowsのソフトでみると
MSの製品は9位にやっとIEが出てくる程度です。
トップはFirefoxで、それを追い上げるようにSafariが迫る。
ソフト1つあたりの脆弱性数で平均を取ると、MSのランキングは3位よりも
大きく下になるんじゃないかと思います。
誰かのネガティブ布教活動のせいでMS製品は脆弱性が多くて危険だと
誤解している人が非常に多いわけですが、現実的にはMS製品は他社製品と
比べると安全であると考えることもできますね。
#事実か嘘か別にして、こういうことを書くとマイナスモデレートする
#あんぽんたんがいたりするかもしれませんが。
世界で最もユーザにとって好ましくないのは、トップに君臨する会社で、
過去にもWindows用のウィルスを自社製品に入れて販売したケースでは
「Windowsが脆弱だから」みたいに責任転嫁したり、アンテナに問題がある
と言われたら「他社製品も同じだ」みたいなキャンペーンをしたり。
アンテナのページは変更されたようです。 (スコア:1, 参考になる)
http://www.apple.com/jp/antenna/ [apple.com]
やめるなら、最初からやらなきゃいいのに。
ちなみに本国は先週末にすでに差し替わってて、本国から指示がないと何もできない日本側は、
今日差し替わったようです。
Re:MSはけっこう優秀じゃないですか? (スコア:1, すばらしい洞察)
両者にさわる機会のある人にとっては、比べる必要がすらないぐらい差がついてますよ。
Re: (スコア:0)
そして何より、脆弱性の数に関わらず選択肢がある事で種の絶滅を回避出来ます。
世界にWindowsしかなかったら、
・LANケーブルを繋いだだけでウイルスに感染したり
・ショートカットを表示しただけでウイルスに感染したり
…HIVより恐ろしいです。
Re:MSはけっこう優秀じゃないですか? (スコア:3, すばらしい洞察)
> 以前のストーリーのコメントにもありましたけど、企業は叩いた方が、ユーザーにも企業にもメリットがあると思いますよ。
外部からの厳しい指摘は必要ですが,正当な努力を認めないのとは別の問題です.
市場で認めれられないのであれば,企業は費用を負担できません.
Windows XP 以降の Microsoft は,厳格な開発体勢や,検査技術の開発・研究に莫大な費用を投じてきましたし,それが安全性の向上という利用者にとって好ましい結果を生んでいます.
よい製品を手に入れるためには,非難ばかりでなく,ポジティブな評価をすることも重要でしょう.
# MSによるネガティブキャンペーンもずいぶん減りましたね.
Re: (スコア:0)
Re: (スコア:0)
元コメはOSに限定してないでしょ。
>Appleの努力もMSの努力も無関係の話じゃないの?
違うでしょ。というかこれが無関係なら何の話だと?
WIRED VISION [wiredvision.jp]によれば
ってことだから、
「Windows上で動くソフトウェアで一番バグが多いのはApple製、次がOracle製、三位がMicrosoft製」
っちゅうことでしょ。
Re: (スコア:0)
・股間にあるケーブルを繋いだだけでウイルスに感染したり
・(内部が)カットされて(血液と接触すると)ウイルスに感染したり
・・・HIVだって恐ろしいです。
Re: (スコア:0)
Re:MSはけっこう優秀じゃないですか? (スコア:1)
とりあえず、どちらを上にするとか、意識することなく接続はできるので簡単だと思いますよ。
それに、たとえオス同士でも、どうにか接続はできますからね。
# ちょっと下品ですね。。。
Re: (スコア:0)
という屁理屈があります。
ところが、トヨタがアメリカでメタメタに打ちのめされていた原因は、
実際は欠陥ではなくて運転手の運転ミスであったという結論が、今頃に
なってボロボロ出てきた。
結局欠陥も見つかっていない。
国内でのプリウスの改修となった事故も、結局はブレーキに問題ではなく
運転手の責任だったという結論が出された。
不当に、かつあまりにも酷過ぎる企業バッシングはトヨタや、そのユーザに
何か良い結果をもたらした?
ユーザにとっては、普通なら断られる我儘を聞いてくれるようになったから
良いかも
Re:MSはけっこう優秀じゃないですか? (スコア:1)
> 不当に、かつあまりにも酷過ぎる企業バッシングはトヨタや、そのユーザに
> 何か良い結果をもたらした?
今までだと、アクセルが踏まれつつ、ブレーキも踏まれたとき、両方とも有効にしていましたが、
これからは、ブレーキが踏まれたらアクセルをオフにする対応にするそうですよ。
機械が矛盾した指令を受けたときに、安全側に寄るのは基本だと思うのですが、
今回の事故が起きるまで、なぜそれが出来ていなかったのか、大きな疑問です。
これは、バッシングなければ得られなかった成果だと思っています。
Re: (スコア:0)
本当にブレーキオーバーライドが「出来ていなかった」のかどうか、もし車をお持ちでしたらご自身の車で試してみてはいかがでしょう? ブレーキとアクセルを同時に踏んだ場合、ブレーキオーバーライドがあろうとなかろうと車はきちんと止まりますよ。もともとブレーキの制動力はエンジンのトルクよりも遥かに上ですから、コンピュータでオーバーライドされなくてもタイヤがロックするくらい制動力は働きます。
加えていえば、アクセルオンにしてエンジン回転があがるとその分ブレーキ倍力装置が強く働くようになります。走行中にエンジンをオフにすると、ブレーキの効きが悪くなるので絶対走行中にはエンジンをオフにしないように、と教習所で習いませんでしたか?
つまり自動車というのはもともと機械的にブレーキの方がアクセルよりも絶対的にオーバーライドされるようになっており、ブレーキオーバーライドなんて単なる「気休め」に過ぎません。実際今回のトヨタの対応は「(あんまり意味ないけど)ポーズとしてやっておくか」くらいのものでしょう
Re:MSはけっこう優秀じゃないですか? (スコア:1)
> ブレーキとアクセルを同時に踏んだ場合、ブレーキオーバーライドがあろうとなかろうと車はきちんと止まりますよ。もともとブレーキの制動力はエンジンのトルクよりも遥かに上ですから、コンピュータでオーバーライドされなくてもタイヤがロックするくらい制動力は働きます。
だとすると、今回のトヨタの事故で有名になった、暴走車から911に電話をかけて亡くなった方は、
ブレーキをかけてなかったってことですか?
フロアマットがアクセルに引っかかりアクセル全開→ブレーキ踏み込んでも止まらず→暴走→事故死、という認識ですが。
> アクセルオンにしてエンジン回転があがるとその分ブレーキ倍力装置が強く働くようになります。走行中にエンジンをオフにすると、ブレーキの効きが悪くなるので絶対走行中にはエンジンをオフにしないように、と教習所で習いませんでしたか?
なんだか意味が不明ですが、エンジンが止まらなければエンジンによる力は止まらないわけで、ブレーキ倍力云々以前に、
エンジンを止めればよいでしょう。
ブレーキをかけすぎると、ブレーキがきかなくなるって話は、教習所で教えてくれませんでしたか?
> つまり自動車というのはもともと機械的にブレーキの方がアクセルよりも絶対的にオーバーライドされるようになっており
つまり、今回のトヨタの事故の原因はなんだったのでしょうか?
Re: (スコア:0)
いやいや,さすがにそれは違うでしょ.
普通の車に搭載されている倍力装置はエンジンの吸気負圧を利用したものなので,スロットルが全閉のときに最も強く働く.
もちろん,高回転でもスロットルが閉じている状態なら良いけど,そんな話はしていないよね.
Re: (スコア:0)
コメントを読んで考えてもらうとして、
「アクセルとブレーキの両方を間違って踏む」
っていうのは、どういうケースでしょうね。
普段両足でアクセルとブレーキを踏んでいる人?
暴走させちゃう人の運転ミスって、ブレーキとアクセルを踏み間違えている
だけなので、その改良はあまり意味が無いような気がする。
不必要な機能を組み込むために車のコストが上がって損をするのは購入者。
Re: (スコア:0)
今回のトヨタ社の欠陥問題で言えば、
という2つの問題が存在したため、ドライバーがブレーキだけを踏んだ場合でも、アクセルとブレーキ双方が踏み込まれた状態になる恐れがありました。でもすでに書かれているように、ブレーキオーバーライドがあろうとなかろうと、ちゃんとブレーキを踏みさえすれば車は止まるわけで(以下略)
Re: (スコア:0)
>今までだと、アクセルが踏まれつつ、ブレーキも踏まれたとき、両方とも有効にしていましたが、
>これからは、ブレーキが踏まれたらアクセルをオフにする対応にするそうですよ。
>機械が矛盾した指令を受けたときに、安全側に寄るのは基本だと思うのですが、
>今回の事故が起きるまで、なぜそれが出来ていなかったのか、大きな疑問です。
路面の状況によってはアクセルで加速しつつブレーキでそのトルクを調整するという運転方法が必要ですので
この場合「矛盾」だなんだという話の事例として出すのが全く不当です。
haratake (365)さんは普通自動車運転免許をお持ちでない方でしょうか?
Re:MSはけっこう優秀じゃないですか? (スコア:1)
ここまでヒール&トゥという言葉の出番無し。
レース漫画やら何やらが流行ってた時代は遠く……
# いや、今時そんなタイヤを無駄に消耗させるテクニックなんて使わないだろjk
ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
Re: (スコア:0)
Firefoxが安全とかほざいてたスラドの猿どもは謝罪すべきだな
Re: (スコア:0)
MSは放置しすぎだろ
CVE-2010-2568とか大穴開けっ放しだよね。
Fix itもひどい実装だし。
Re: (スコア:0)
理解できてないんですね。
ショートカット自体を無効にしてるのだから、ショートカットで得られる機能はすべて無効になるんだけど?
ちなみに、2010年8月3日 (PST) 付で定例外の修正モジュールとして、CVE-2010-2568 の対処がされる予定のようですよ?
Re: (スコア:0)
> ショートカット自体を無効にしてるのだから、ショートカットで得られる機能はすべて無効になるんだけど?
無効になるのはショートカットの「アイコン表示の機能」だけですけど? ダブルクリックすればリンク先はちゃんと起動しますよ?
アイコンを抽出するだけのためになぜかDLLをロードしていて、DLLをロードするというのはWindowsでは即ローカルからの攻略で任意コード実行可能であることを意味する、というのが脆弱性の原理です。リンク先のプログラムを起動する機能に欠陥が見つかったわけではありません。
で、このショートカットの脆弱性もそうですが、現
ごめんなさい (スコア:0)
Re: (スコア:0)
化かされたんじゃないの?
Re: (スコア:0)
>比べると安全であると考えることもできますね。
脆弱性の「数」だけで安全性が語れるとは思えません。
リンク先にもあるけど、まずそれぞれの深刻度は考慮されていないし、そして何より攻撃対象となるか否かという事のほうが大きいでしょう。
マルウェアの作者は脆弱性が多いから狙うんじゃなくて、攻撃の効果が大きいから狙うのでしょう。たったひとつの脆弱性でもそれが危険なら危険です。
そして、脆弱性の数が他社より少ないだけで「他社製品と比べると安全であると考えることもできますね。」と考えてしまう事こそ危険だと思います。
#ちなみに私はWindowsユーザーです。
OSの脆弱性はレポートに含まれていない (スコア:1, 興味深い)
みなさんPDFを読まずにコメントされていると思いますが、これは「Windowsにインストールされているソフトウェア」の脆弱性についてのレポートであって、OS自体の脆弱性については言及されていませんよね。
WiredVisionの記事 [wiredvision.jp]で述べられていました。
タレコミにあるニュースソースではこの点に触れられていないため、「WindowsよりもMacの方が危険」などと勘違いしてしまう人がいるのではないかと懸念します。
OSの脆弱性の多さについても、少しは知りたいとは思いますけどね。
完全に的外れな指摘 (スコア:5, 参考になる)
PDFを読めばわかるはずだと思うのですが、タレコミやニュースソースは
レポートの前半(Secunia Vulnerability Intelligence)の内容を取り上げたものです。
そこでは、Secunia Advisories全体から脆弱性の数を調査した結果として、
各種ベンダーの中でAppleがトップであることを示しています(Fig.2)。
これは、OSもアプリケーションも含んだ結果です。
「Windowsにインストールされているソフトウェア」の脆弱性について調べているのは
レポートの後半(Security of End-User PCs)だけです。
タレコミで話題にしているのはレポート前半の内容です。あなたの指摘は完全に的外れです。
Re: (スコア:0)
なぜそんな危険なソフトを許可してるんでしょうね
ウィルスが一切いないとCMで豪語した会社なのですから
それくらい排除しても問題ないでしょうに
Re: (スコア:0)
たかだか、iTunesとQuickTimeほどで他を圧倒できるAppleの技術力で作られたOSが安全だなんてどうして言えるの?
Re: (スコア:0)
PDFだけではなく記事内の別のリンク先も読めば、(ハッカーの言ですが)Macの方が脆弱であるということがはっきり書いてありますけどね。
長年言われていた「Macはセキュアである」は「単に攻撃されないだけ」でしたし、逆に言えば耐攻撃のノウハウを獲得するチャンスに劣っていたMacの方が不利であるのは仕方のないところです。
Windowsの導入は危険 (スコア:1, おもしろおかしい)
ドライバ署名やアドレスのランダム化など、もしかすると純技術的には
Windowsのほうが事実として攻撃に強いのかもしれない。しかし、事実
として最近でもConfickerのような猛威をふるった脆弱性が見つかっている
わけだし、(普及率の関係からは)システム管理者にとって、(MacOS Xよりも)
Windowsのほうがはるかに危険なOSであるという事実はかわらない。
二番目の問題として、単に脆弱性の数だけの話であれば、
Microsoftは脆弱性の数をごまかしているのではないかと私は疑う。
GoogleのTavis Ormandy氏の件にしても、マイクロソフトはその情報を
公開せず闇に葬り去ろうとしているのであり、本当にMicrosoftの
ソフトウェアが脆弱性が少ないかは疑わしい。残念なことに、唯一Microsoft
だけがバグトラッキングサービスが非公開となっており、本当に脆弱性が
少なかったのか第三者が検証しようがないのだ。
Windows導入の三番目の問題として、OS自体をMicrosoftが完全にコントロール
している点が挙げられる。例えば、国家間の戦争があったときMicrosoft Update
経由でコンピュータを利用不可にするモジュールが送り込まれない保障はない
のであり、国防など国家にとって本当に重要な情報を扱うのであれば
Windowsではなく、RedHat Linuxを用い監査済みのSRPMSを国防を担う組織自身
がビルドして配布するなどせねば、国防上重大な弱点を残すことになる。
Windowsには危険な点が多く安心できない。一般消費者ならともかく、
企業秘密・国家秘密・国防などを担う組織であればすぐにでもWindowsの利用を
中止すべきであると私は考える。
Re:Windowsの導入は危険 (スコア:1)
オープンソースプロジェクトであっても、セキュリティーに関するトラッキングチケットなどは修正が出るまで非公開扱いとなるのが基本ですけど。
その結果、「修正しない」と判断されたものが公開されるかはそのプロジェクト次第です。
この場合、敵国側に Microsoft がついている前提となっていますが、そんなところから戦争中にのんきにネットワーク経由でアップデートを受け取って適用する事自体が異常です。
ついでに言うと、国家などであれば Microsoft と契約することでソースコードへアクセスすることができますし、冷戦相手であった旧ソ連、かのロシアすら Windows のソースコードへのアクセスが可能である世の中ですよ。
なるほど (スコア:0)
iOS や Android OS も遠隔操作でファイルを消せることを実証済みですから、同様に使えませんね。
Re: (スコア:0)
すばらしいぞ同志。
これほど見事なマカを演じられるのは君しか居ない!
頑張ってリンゴ病患者の危険性を世に知らしめてくれたまえ。
わっはっは! (スコア:1)
その昔、MS-DOS用ウィルスよりMac用ウィルスの方が遙かに多かった時代を思い出せば、このぐらい……
# 激しくオフトピ
ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
ホームラン打者とバント打者 (スコア:0, フレームのもと)
今週もまたWindowsは特大ホームランのクリティカルな脆弱性のパッチですね。
一方、Appleはホームラン打者をバント打者がその成功数で抜いたくらいの感じでしょうか。
Re: (スコア:0)
Re: (スコア:0)
そもそもAppleは脆弱性や不具合をきちんと公開しているのかと。
Re: (スコア:0)
http://support.apple.com/kb/HT1222?viewlocale=en_US [apple.com]
で、きちんと公開されている。
ドザとマカの差 (スコア:0)
教祖様を信じず常にセキュリティピリピリしてるドザ、教祖様を信じて絶対のセキュリティだと思い込んでいるマカ
そりゃ教祖様のセキュリティに対するインセンティブも差が出ようというものです
Re: (スコア:0)
>教祖様を信じず常にセキュリティピリピリしてるドザ
CodeRed とか Nimda の時代ならともかく、最近は
常にWindowsのセキュリティでFUDかますマカ
の間違いでしょうw
いい加減…… (スコア:0, フレームのもと)
いい加減、宗教とIT企業を比べるのやめろよ、と
そもそも畑が違うんだからさ!
上でトヨタどうこう言ってるが、MSとトヨタ比べるほうがまだ、MSとアップル比べるより的確じゃねーの?
MSもトヨタも宗教じゃなくて企業なんだから。
Re: (スコア:0)
Re:すでに (スコア:1)
すみません。ちょっとこの文脈での「コモディティ化」の意味がわかりません。
Re: (スコア:0, 興味深い)
# SPをフォローしていれば、updateも供給されるだろうからすごく安心なOSかも
# あるいはSP7でWin 7と同等てなオチもありかな?
Re:すでに (スコア:1)
何か勘違いしている気がしますが、ダウングレード権は自己責任で同じOSを新たなライセンスで使い続けられるだけで、新規セキュリティパッチは提供されませんよ?
ダウングレード権でダウングレード可能なWin95/98,NT3.5/4.0(そして2000)が今どうなっているかを見れば宜しいかと。
# 基本的にオフラインとか閉じたネットワークで使うとかです。
Re:すでに (スコア:1)
XP は既にメインストリームが終わっていますし、SP3 を最後に SP の提供は終了していますから、今後出てくるとしても SR (Security Rollup) 位ではないでしょうか。
# せめて半年に一度くらい SR を出してほしいものですけど。Exchange Server とかは SP 未適用向けとかにも出るのに。
Re: (スコア:0)
「ぬぁにぃ?SP64で強制64bit化だとぅ!!?」
Re: (スコア:0)
SP64のころには、ほとんどのマシンでメインメモリ4G超えてそうだから
64bit化されたほうが恩恵があるかも。
# Xpの64bitはVista64bit出た後でさえ、
# ドライバとかも配給されず鬼子だったなぁ・・・