Mac OS X v10.2.8以前の3つの脆弱性公表

Mac OS X v10.2.8以前の3つの脆弱性公表 74

ストーリー by yourCat 2003年10月30日 22時30分
放置プレイは勘弁部門より

foryoolife曰く、"@Stakeが米AppleのMac OS X 10.2.8以前に存在していた脆弱性を公表した。内容は、1) コマンド引き数 (argv[]) のバッファーオーバーフロー、2) ファイルおよびディレクトリへのパーミッション (アクセス許可) の扱いの欠陥、3) 対話シェル経由でrootプロセス所有コア・ファイルへのアクセス可能、の3つ。未だにAppleからはパッチがリリースされていないため、もっとも有効な策はPantherにアップグレードするしかないようだ。"

確かにApple Security Updatesには、Pantherにて修正されたとの記述がある。更に、@Stake報告分以外の脆弱性も掲載されている。/.Jに10.2.8用パッチも出るとの情報が寄せられているものの、出るまでの間が気持ち悪い。10.2.8はごたごたしたが、その影響で遅れているのだろうか？

[Update: 2003年11月1日 06:00 JST] MacCentral宛に、この件に関するAppleの見解が送られた。曰く、"Appleは、重大な脆弱性に関しては、過去にリリースしたMac OS Xに対しても速やかに対応する方針であり、それはPanther発売後も変わらない。" 速やかではないから、これだけ大騒ぎになったのだが……。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索74コメント Log In/Create an Account

Appleユーザー的にはこういうのもありなの？ (スコア:2, 興味深い)

by patagon (1453) on 2003年10月31日 1時04分 (#424222) 日記

Appleユーザー的にはこういうのもありなの？
Mac OS Xの脆弱性、Panther以外にパッチはなし？ [zdnet.co.jp]

iBook G4欲しかったんですけど、これくらいで萎える自分は資格なしなんでしょうね、きっと。
- セキュリティホール対策 (スコア:1)
  
  by cooper (4658) on 2003年10月31日 8時06分 (#424323) 日記
  
  一般ユーザの立場として見ればもちろん、過去の製品についてもちゃんとフォローして欲しい。けれど、技術者の立場として見ると、その手間とコストがかかるのは十分わかるので、今の対応で限界なのかな、という諦めもあります。
  
  本当はユーザがもっと声を上げて改善を求めることが大切なんでしょうけど、肝心のユーザが増えないことにはどうしようもないですね。今回の件にはかなりガッカリしましたが、Panther の開発と並行してできるほどのマンパワーはないと思います。
  
  ちなみに、Intel の四半期ごとの売り上げの増減 = Apple の市場シェア x 2 [zdnet.co.jp] だそうです。
  
  --
  -- cooper
  
  シェア
  
  親コメント
  - Re:セキュリティホール対策 (スコア:1)
    
    by wosamu (4952) on 2003年10月31日 12時17分 (#424498) 日記
    
    >一般ユーザの立場として見ればもちろん、過去の製品についてもちゃんとフォローして欲しい。
    >けれど、技術者の立場として見ると、その手間とコストがかかるのは十分わかるので、今の対応で限界なのかな、という諦めもあります。
    
    技術者としての立場としても、一個前のバージョンにセキュリティパッチを提供しないにはどうかと思いますが…
    ま、アップルは小さい会社だから仕方ないとあきらめるか、それとも別なOSに乗り換えるかはユーザー次第だからユーザー以外がどういっても仕方ないことだけど、これを機にサポートポリシーを明確にするべきでしょうね。
    
    シェア
    
    親コメント
  - Re:セキュリティホール対策 (スコア:0)
    
    by Anonymous Coward
    
    > 今の対応で限界
    
    だとしたらOSメーカーとしては史上最悪ですね。
    今新品として売っているプロダクト [sofmap.com]ですらサポート外な訳でしょ。
    OS選択の自由がほぼ無い所にこれは、いくら宗教だとしても酷すぎやしませんか....
    - Re:セキュリティホール対策 (スコア:1)
      
      by GPH (8223) on 2003年10月31日 10時35分 (#424400) 日記
      
      424388見たいに、本人はともかくフレーム誘発っぽいのがでてきそうなので当方は慎重を希望。
      
      ま、1-2週間待っても動きが無かったらその時こそ出してはどうか。
      
      シェア
      
      親コメント
      - Re:セキュリティホール対策 (スコア:0)
        
        by Anonymous Coward
        
        賛成。
        隠蔽希望。
  - - Re:セキュリティホール対策 (スコア:1)
      
      by GPH (8223) on 2003年10月31日 21時19分 (#424860) 日記
      
      ユーザが少ないせいで、外国のユーザーのフィードバックが他メーカーと比較しても足りない（または吸い上げ努力を過小評価）ってのはあるよなあ。
      今回のもフレーム覚悟で再度トップに上げ直したほうがいいのかなあ。はて・・・。
      
      ・・・もっとも、WinXPのインストール条件を見ると、なんか似たよーなもんを感じるのもありますが。でもまだ98買おうと思えば買えるんだよなあ。ビッグブルージーパン禿CEOにはもう少し考えて欲しいのは事実じゃ。
      
      AirMac(AirBase)もG3パワブーも、機械的なことで、ここらへん日本国内メーカーだと考えにくいってのがねえ。
      
      シェア
      
      親コメント
    - Re:セキュリティホール対策 (スコア:1)
      
      by cooper (4658) on 2003年11月01日 1時26分 (#424959) 日記
      
      指摘されている問題点の多くは、Apple の基礎体力が不足していることに起因しているとは考えられないでしょうか。
      
      脆弱性への対応を迅速に行うことや、過去の製品をあっさり切り捨てないで欲しいというのは、製品を購入しているユーザとして当然の権利要求です。しかし企業もボランティアでない以上、そのための原資が必要です。
      
      そして、限られた原資のうち、新規開発にどれだけ割り振り、サポートにどれくらいまわすかの匙加減には、企業の経営方針が如実に反映されて当然です。
      
      現在の Apple にとっては、eMac や iBook に Panther を搭載して戦略的な価格で販売することのほうが、サポートの充実よりも勝っているように見えます。こういったキャンペーンの結果、シェア拡大を実現すれば、手厚いサポートに繋がるかもしれないわけです。
      
      一方で、そういった基礎体力もないような企業が OS を作るべきではない、という意見もあるでしょう。これ以上被害者を増やす前に店をたたむべきだ、と。しかし、そうやって切り捨ててしまうには惜しいぐらいに、将来性のある OS だと、個人的には思うのです。
      
      # こう書くとやっぱり信者に見えてしまうのかなぁ...
      
      --
      -- cooper
      
      シェア
      
      親コメント
      - Re:セキュリティホール対策 (スコア:1)
        
        by satoru3104 (16741) <{satoru-s} {at} {aurora.dti.ne.jp}> on 2003年11月01日 14時42分 (#425164)
        
        ひとまず意見を読んでみて。
        
        セキュリティホール memo [ryukoku.ac.jp]では相当辛辣にやられてますね。
        「OS屋としては失格だよね」の「失格」をわざわざ赤くしてるし。
        
        で、卵が先か鶏が先かって話になっちゃうんだけど、言ってみれば
        「賞味期限の記載がない食品」を売ってるのを問題に
        されちゃってるんですね。
        
        「賞味期限」を捏造する方がもっと悪質ではあるのだけど、今回は
        それ以前の問題だと見なされたと。
        
        *BSDベースのOSとWindowsのどっちが「悪くなりにくいか」までは
        一般消費者は知識も関心も無いし。
        
        んで、プロの料理人も賞味期限の書いてない鯖は食材として使えないなと。
        今回の失点は結構大きいかもしれません。
        
        --
        -- All is need your love.
        
        シェア
        
        親コメント
        
        Re:セキュリティホール対策 (スコア:1)
        
        by cooper (4658) on 2003年11月01日 16時07分 (#425183) 日記
        
        読んでみました。内容的にはその通りだと思います。ただ、最後の段落については、遅きに失した Apple の見解 [macworld.com] を読む前の感想だと思いますが、Apple の対応がまずかったのは確かです。
        んで、プロの料理人も賞味期限の書いてない鯖は食材として使えないなと。
        今回の失点は結構大きいかもしれません。
        まずはサポート期間を明示するよう、強く求めていくべきですね。
        
        なんにせよ、ステートメントが遅すぎます。実際の対応が遅くなることはある程度仕方がないかもしれませんが、正式発表なり見解なりは ASAP で出して欲しいものです。
        
        --
        -- cooper
        
        シェア
        
        親コメント
        
        Re:セキュリティホール対策 (スコア:1)
        
        by satoru3104 (16741) <{satoru-s} {at} {aurora.dti.ne.jp}> on 2003年11月01日 17時06分 (#425196)
        
        #ん？ちょっと解釈が違ってる気が。
        
        時間の経過とともに論点が変わってきたというのもあるんだけど、
        
        １．Panther出荷。（セキュリティ「強化」）
        ２．Jaguar以前ではFix出来てない穴をAppleが公表。
        ３．でも、修正パッチ公開は謎。（下手すりゃ放置プレイか？）
        ４．それ以前にJaguar以前のver.はいつまでサポートするんだ？
        　　（まだ使ってるヤツも多いんだぞ）
        
        ・・・で、大騒ぎになったわけで。
        
        賞味期限＝サポート期間の明示はもちろんですが、この場合、
        いたずらな情報開示が逆に不安を引き起こした感もあるので、
        情報を出すなら「穴への対処もちゃんとしろ」。
        対処が遅くなるなら「～すればひとまず危険は回避できる」と
        いう、きめ細かな対応が必要かと。
        
        --
        -- All is need your love.
        
        シェア
        
        親コメント
      - Re:セキュリティホール対策 (スコア:1)
        
        by patagon (1453) on 2003年11月02日 12時36分 (#425522) 日記
        
        > 現在の Apple にとっては、eMac や iBook に Panther を搭載して戦略的な価
        > 格で販売することのほうが、サポートの充実よりも勝っているように見えます。
        > こういったキャンペーンの結果、シェア拡大を実現すれば、手厚いサポートに
        > 繋がるかもしれないわけです。
        これは仮定でしょうけど、少しでもこの考えがあるなら企業として成り立っていません。
        これでついていく人達がいるなら、それは企業の形をした実質インチキ宗教か詐欺師でしょう。
        # 計画もその気も無いのに「必ず返すから金貸して…」みたいな。
        
        http://srad.jp/comments.pl?sid=130316&cid=424541 に書きましたが、
        そもそもMSでいうライフサイクルサポートのような方針・考えがアップルにないのが驚き。
        
        これじゃ企業や官公庁・学校・団体では使えないでしょう。そこでは導入・維
        持の計画がたてれないんですから。これでも使っている企業、官公庁・学校・
        団体があるのが不思議ですが。個人でも私は使えません。個人でも使えないと
        いう人も多いのでは？だってiBook G4 の発表の少し前にアップルストアで
        Jaguarがのったハードを買った人がいたとしたら、それはサポートしないと
        いうことですよね。実際にいるかしれませんけど。
        
        これじゃ個人の何が何でもアップルについていくという *盲目的*なファン
        じゃないと使えませんよ。アップルもそこを対象に商売してください。お願い
        します。事前の断りとして以下の周知を徹底をお願いしたいです。
        「アップルはOSについてサポート対象の方針・計画がありあません。
        その時々で判断します。またいついかなるときにもサポートを放棄
        することもあります」と。
        
        方針が無い中で売りっぱなし。甘えるなアップル。世界規模の企業ながら世間
        知らずなアップル、哀れ。
        
        シェア
        
        親コメント
えっ (スコア:2, 興味深い)

by minz (3213) on 2003年10月31日 4時37分 (#424291) ホームページ日記

これ、Macセクションローカルのネタなの？

--
みんつ
- Re:えっ (スコア:2, 興味深い)
  
  by yourCat (4820) <yourcatNO@SPAMusers.sourceforge.jp> on 2003年10月31日 17時38分 (#424742) ホームページ日記
  
  ApacheやOpenSSH、OpenSSL、BINDの脆弱性が公表されてから、Appleがパッチを出すまでに、今まではそれなりに時間がかかっていました (SU 2002-11-21の場合 [srad.jp])。カレント・バージョン以外用のパッチが遅れたことも過去にありました (SU2003-03-03の場合 [srad.jp])。これを問題視し、周知の脆弱性はもっと早く塞いでほしい旨は、/.Jの記事でも繰り替えし訴えてきたつもりです (対策を問う記事 [srad.jp])。
  今回の脆弱性は新しく発表された訳ではなく、Apple自らが既に発表していたものです。それはそれで大問題ですが (t_traceさんの#424433 [srad.jp]参照)。SU-2003-10-28の際 [srad.jp]に、Panther未満への対応を望む声があがっていました。
  
  既に話は出尽くしている感がありましたが、タレコミがありましたので敢えて記事に立てたものです。このため、ローカルが適当だと判断しました。
  
  シェア
  
  親コメント
- Re:えっ (スコア:1)
  
  by patagon (1453) on 2003年10月31日 9時04分 (#424341) 日記
  
  私は(も？)トップネタでお願いしたいです。
  
  シェア
  
  親コメント
- ローカルの様子見 (スコア:1)
  
  by GPH (8223) on 2003年10月31日 18時38分 (#424793) 日記
  
  事が事だけにトップでもセキュリティでも良いとは思うんですが、
  なにしろ既に424388みたく出ちゃってるように、否定発言だけならまだしも如何にも煽りを意図している書き方がでたり、
  それに反応してしまうのが居たりと、此の手の話には大抵邪魔なモノが入り込む癖がある為慎重なほうが良いかと。
  
  否定コメントが「荒らし」モデレートされているというのは目立つだけにこっちも気分が複雑。ただまあ如何にも「困りそうな」ネタに発言する以上、ネタ関連以外で怒りを買いそうな言葉は抜いたほうが無難でしょうが。
  
  多分、数週間待っても動きが無いようだったらフレーム解禁かという気はする。
  ジョブスは値段が安いんだから、ということで強気なのかもしれないが、10.3をMDD以上のマシンに放り込むとPDFの「画像」スクロールが最大50パーセント速度ダウン（なんとG5マシンで。Mac Fan記事より）というほうが気になる。
  
  シェア
  
  親コメント
  - - Re:ローカルの様子見 (スコア:1)
      
      by GPH (8223) on 2003年10月31日 21時08分 (#424854) 日記
      
      あれはどうみても煽りでしょ。流石に。別に頭がどうとか書く必要はないから。本気で指摘するなら余計。
      
      やはり、G5出したしここらでやっちまえ、な良くないもくろみがしつこく残ってるんでしょうが、パッチの話があいまいな状態で出したAppleも？なんで、もう少し経ってもいまいちな対応だった場合はその時こそたたきましょ。
      
      サーバー版10.2*は買えるようだ。ただ、サーバー版だけパッチ出して逃げるとかだとこれまたなあ。
      
      シェア
      
      親コメント
- Re:えっ (スコア:0, 荒らし)
  
  by Anonymous Coward
  
  身内の恥は隠蔽しないと。
  否定的なコメントは全部「荒らし」になってるし。
  今回の対応を見るとMSってまともな会社だったんだなと思う。
  - Re:えっ (スコア:1)
    
    by minz (3213) on 2003年10月31日 16時44分 (#424700) ホームページ日記
    
    何でこれも「荒らし」なんだろーね。
    
    会社のほぼ全部がWindowsユーザーの環境でMac使い続けている
    俺なわけだが、なんでこういう広域なクライアントPCの脆弱性話
    題がセクションローカルなのか、不思議でならない。
    
    --
    みんつ
    
    シェア
    
    親コメント
  - Re:えっ (スコア:0, すばらしい洞察)
    
    by Anonymous Coward
    
    どこがですか？MSが何年も放置しているセキュリティホールは
    いくつもあって、ずっと問題になってるけど？
    - Re:えっ (スコア:0)
      
      by Anonymous Coward
      
      少なくとも、[パッチ出さないから新しいOS買え]なんてのは、売り出してから五年間は言ってないね。
    - Re:えっ (スコア:0)
      
      by Anonymous Coward
      
      ぼっちゃん、MSの事言う前にパッチだしてもらいなよ。
  - Re:えっ (スコア:0)
    
    by Anonymous Coward
    
    MSの対応に、Appleの対応よりも相対的にマシな部分があっても
    それはMSがまともな会社であることを保証しない。
    目くそ鼻くそを笑う・・・
体質的 (スコア:1)

by GPH (8223) on 2003年10月31日 10時30分 (#424398) 日記

機械とOSバージョンがAT互換機に比べて非常に限定されて対応している所為のデメリットだなあ。G5対応のどさくさに出しちまえ、というのが無きにしもあらず。そんでもって古いものが後手後手に回ると。

OS7.5.3時代からの伝統と言えば伝統なんだけど・・・。
セキュリティ云々で此のやり方が不味くなったと言うのもUNIXパワアのなせる技？？
記事をトップに持って来いと言う声があるが、たとえ否定意見として傾聴に値するものが有ったとしても、案の定既に見られるように発言にもコメントにも煽りに取られるような文句が付け加わってたりするので、セキュリティネタとしてトップに持ってくるのは辛そうだ。
10.2系の今後のサポート (スコア:1, 参考になる)

by Anonymous Coward on 2003年10月31日 12時32分 (#424509)

先日のBSDカンファレンス2003 [bsdcon.jp]で、「10.2系列の今後のサポートはどうなるのか？」という質問に対してアップルの社員の方が「10.2系列は今後も並行して販売するので、サポートは続ける」というようなことを言ってませんでしたっけ?＞参加された方々。
その時のビデオも撮られてましたよね?＞スタッフの方々。
- Re:10.2系の今後のサポート (スコア:0)
  
  by Anonymous Coward
  
  >10.2系列は今後も並行して販売するので、サポートは続ける
  言ってました。
  あとは、公式な発表が欲しいですね。
- - - Re:10.2系の今後のサポート (スコア:1, 興味深い)
      
      by Anonymous Coward on 2003年10月31日 20時23分 (#424841)
      
      Security Update 2003-03-03 [apple.co.jp]が出ただけですね。
      すぐ思いつくだけでも、Security Update 2002-11-21 [apple.co.jp]の10.1用のは出てないし、Mac OS X 10.2.2 Update [apple.co.jp]でApacheがアップデートされてるのに、10.1用のこれに相当する物も出てません。
      # 金がなくてアップグレードできない知り合いのMac OS X Server10.1が、今確認したらまだBIND 8.2.3とApache 1.3.26で動いてるよ…。
      
      シェア
      
      親コメント
      - 不要なプロセス (スコア:1)
        
        by docile-jp (16652) on 2003年11月07日 11時07分 (#428952) 日記
        
        必要じゃないのに動かした人の自業自得ってのはだめですかね？
        だめか。
        （blaster みたいに、無関係なこっちにまで影響が及んだらいやだし）
        
        なお、デフォルト状態では Apache とか sshd とか、
        よそから接続できるようなものは動いていなかったん
        じゃないかと。
        
        シェア
        
        親コメント
        
        Re:不要なプロセス (スコア:1)
        
        by t_trace (6746) on 2003年11月07日 17時01分 (#429247) 日記
        
        >なお、デフォルト状態では Apache とか sshd とか、
        >よそから接続できるようなものは動いていなかったん
        >じゃないかと。
        
        Apacheもsshdも、今回の脆弱性で問題になっているパーソナルファイル共有も、マウスを３回クリックするだけで起動します。
        初期状態でオフになっているからといって安心できる性質のものではありません。
        
        シェア
        
        親コメント
Microsoft プロダクトサポートライフサイクル (スコア:1)

by patagon (1453) on 2003年10月31日 13時03分 (#424541) 日記

スレ違いだけど貼っときます。
プロダクトサポートライフサイクル [microsoft.com]
Windows デスクトップ製品のライフサイクル
[microsoft.com]
プロダクトサポートライフサイクルを製品毎に探す [microsoft.com]
Internet Explorer ライフサイクルウィザード: 選択(Internet Explorerにチェックを入れてクエリの実行) [microsoft.com]

Appleを知らなかったんですが、こういうのってAppleにはないんですか？
もしそうなら企業では使いにくそうなんですけど。使用者の想定がMSとAppleではもともと違うのかな？企業には売る気無い？
- OS のサポートポリシー (スコア:1)
  
  by patagon (1453) on 2003年10月31日 14時06分 (#424596) 日記
  
  OSのサポートポリシー(セキュリティホール memo 小島　肇さん) [ryukoku.ac.jp] 感謝。
  
  シェア
  
  親コメント
いつも思うんだけど、 (スコア:1, すばらしい洞察)

by Anonymous Coward on 2003年10月31日 15時43分 (#424671)

Appleを擁護する発言には「すばらしい洞察」。
Appleに対して否定的な発言には「荒らし」
しかもモデがすげー速い。
windowsユーザってOSを道具でしか見てない部分があるので
ここまで強烈にされると軽い嫌悪感。
- Re:いつも思うんだけど、 (スコア:1)
  
  by nobuo (263) on 2003年10月31日 16時25分 (#424692) 日記
  
  >ここまで強烈にされると軽い嫌悪感。
  
  マカーですが、賛成。でも、
  
  >windowsユーザってOSを道具でしか見てない部分があるので
  
  十把一絡げに言い切っていいの？ここについては同意できない。
  
  --
  nobuo * Who's gonna die first? *
  
  シェア
  
  親コメント
MSセクション希望 (スコア:1, すばらしい洞察)

by Anonymous Coward on 2003年10月31日 19時46分 (#424828)

荒れるからセクションローカルでって意見が多いんだけど、それなら荒れまくっているMS関係セキュリティストーリーのためにMSセクションを作ってくださいませ。
オリバたんよろしくお願いします。
率直な感想． (スコア:0, 荒らし)

by Anonymous Coward on 2003年10月30日 23時05分 (#424127)

Appleぼろぼろだな...
MSの二の舞を踏まない努力はしないのだろうか?
- 今回の件に関しては、Microsoftこそ見習うべき (スコア:1)
  
  by t_trace (6746) on 2003年10月30日 23時27分 (#424141) 日記
  
  Microsoftのように、製品ライフサイクルを明確に設定し、一定限度で過去の製品へのアップデートを行うことができていないことが問題なのです。
  Microsoftを見習っていればこの脆弱性はこのような問題にならなかったことでしょう。
  
  シェア
  
  親コメント
  - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
    
    by Anonymous Coward
    
    さすがのMSも最新バージョンでないものを容赦なく切るということはやってないけどねー
    - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
      
      by Anonymous Coward
      
      Appleも最新バージョンでないものを容赦なく切るということはやってないけどねー
  - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
    
    by Anonymous Coward
    
    問題になっていないことを勝手に問題なのですという方が問題です。
    どのOSでも脆弱性はいつでも問題になり、アップデートをどうするかは
    OS提供者とユーザ次第。提供されなければどうしようもないと言う人も
    いるだろうけど、提供してもアッ
    - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:3, すばらしい洞察)
      
      by t_trace (6746) on 2003年10月31日 11時22分 (#424433) 日記
      
      >無責任に勝手に脆弱性を公開することも問題だし、
      今回発表された脆弱性は、既にAppleによって発表されています。
      http://lists.apple.com/mhonarc/security-announce/msg00038.html
      Apple当人が発表しているので発見者も追従しただけでしょう。
      無責任なのはパッチが存在しないのに脆弱性を公開したAppleです。
      
      >アップデートが出るというのに勝手に決めつけてMS見習えってのは変だよ。
      BSDconで日本の総代理店がリップサービスしたという上記の事例以外に、アップデータが出るというソースがあれば教えていただきたい。
      オープンレビューに耐えないソースをもとに、出る、出ないのはなしをしても無意味でしょ。
      現在の状況はパッチが出るかどうかはわからない、という状態です。
      
      OSのサポートポリシー [ryukoku.ac.jp]でライフサイクルが指定されていないMac OS Xがいかに異常かわかります。
      品質はともかく、ポリシーとして自らを律する努力に関して、Microsoftはよくやっていると思います。
      Appleにはこれがない。それが問題だといっているのです。
      
      シェア
      
      親コメント
      - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
        
        by Anonymous Coward
        
        10.2.8の脆弱性はAppleは発表していません。読めば分かることを見てないのですか？
        アップルってそれが不評の1つですが、全くリップサービスなんてしない組織ですね。
        決まっていることすら事前に一般に発表しない一貫した方針なのは、周知のこと。
        10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言が
        あったのならソースがあれば教えていただきたい。
        
        一
        
        Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:2)
        
        by t_trace (6746) on 2003年10月31日 17時53分 (#424761) 日記
        
        >10.2.8の脆弱性はAppleは発表していません
        親コメントにリンクを張ったんですが、読んでいただけなかったようですね。
        APPLE-SA-2003-10-28 Mac OS X 10.3 Panther [apple.com]でJaguarでのセキュリティ「強化」についてのレポートが掲載されています。
        半分ほどは確かにセキュリティ強化といってもいい内容だと思いますが、今回@Stakeが発表した３つの脆弱性の修正も含まれています。
        CAN-2003-0876がSystemic Insecure File Permissions [atstake.com]
        CAN-2003-0877がArbitrary File Overwrite via Core Files [atstake.com]
        CAN-2003-0895がLong argv[] Buffer Overflow [atstake.com]
        ちょっと読めばわかることですけど。
        
        >一般的に自らを律する努力を一番やっていないMicrosoftがよくやっているなんて思ってるの？
        「製品をいつまでサポートします」と外部に公表すら行っていないAppleと、出しているMicrosoftを比較したときに、
        Microsoftは少なくとも、守れないときに受けるユーザや社会からの不信感のリスクを踏まえて、ライフサイクルを公表しています。
        変更に次ぐ変更があってユーザが不信感を持っているなら自業自得でしょう。
        Appleはそれすらやっていないということです。
        サーバを含む製品を販売している企業としては異常ではないですか？
        　#私は、個人的にこの異常な企業の出すOSに、これを超えるだけのメリットを
        　#感じているからマカをやっているわけです。ま、いわゆる信者ですな（w
        
        >10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言があったのならソースがあれば教えていただきたい。
        私は「現在の状況はパッチが出るかどうかはわからない、という状態です。 [srad.jp]」と書いています。
        出るとも出ないとも言っていません。
        
        Jaguarの脆弱性をAppleみずからが発表し、Jaguarを使っているユーザを危険な状態に陥れたことも、親コメントで語っていないもう一つの問題です。
        もしパッチが公開されるならば、Jaguarのパッチが公開されてから上記のSAを出せば、誰も問題にはしなかったでしょう。
        
        シェア
        
        親コメント
        
        Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
        
        by Anonymous Coward
        
        だれか標準的な日本語に訳してくれー。
    - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
      
      by Anonymous Coward
      
      > 問題になっていないことを勝手に問題なのですという方が問題です。
      
      米アップル、旧OS X用のパッチはなし--対応に批判の声も [cnet.com]
      Apple patches Panther but not older OS [com.com]
      
      問題扱いされているようですが。
      - Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
        
        by Anonymous Coward
        
        やっぱり勝手に問題にしてるだけじゃん。
- Re:率直な感想． (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2003年10月30日 23時48分 (#424158)
  
  ×MSの二の舞を踏まない
  ○MSの二の舞いにならない
  ○MSと同じ轍を踏まない
  
  ていうか意味が全然通らないでしょ（笑
  
  シェア
  
  親コメント
  - Re:率直な感想． (スコア:0)
    
    by Anonymous Coward
    
    ×MSの二の舞いにならない
    ○MSの二の舞いは演じない
- 率直な感想． (スコア:0, 荒らし)
  
  by Anonymous Coward
  
  >MSの二の舞を踏まない努力はしないのだろうか?
  
  二の舞っていうか、MS以下。
パッチ欲しければOS買え (スコア:0)

by Anonymous Coward on 2003年10月31日 10時25分 (#424396)

これがAppleの新ビジネスモデルです。
- Re:2日じゃ無理でしょ (スコア:1)
  
  by elsee9 (15678) on 2003年11月02日 11時41分 (#425496) 日記
  
  通常、こういった脆弱性の情報はまずベンダーへ伝えられます。
  （公表するまでの「猶予」を与えているわけです）
  
  詳細 [atstake.com]を見ても分かる通り、ベンダーの返答を待って公表
  されています。Apple の返答は「Panther で修正された」ですので、
  この時点では Apple は、 Panther 未満では修正する気がなかった、
  と読み取る事も出来ます。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mac OS X v10.2.8以前の3つの脆弱性公表 More ログイン

Appleユーザー的にはこういうのもありなの？ (スコア:2, 興味深い)

セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:0)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:0)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

Re:セキュリティホール対策 (スコア:1)

えっ (スコア:2, 興味深い)

Re:えっ (スコア:2, 興味深い)

Re:えっ (スコア:1)

ローカルの様子見 (スコア:1)

Re:ローカルの様子見 (スコア:1)

Re:えっ (スコア:0, 荒らし)

Re:えっ (スコア:1)

Re:えっ (スコア:0, すばらしい洞察)

Re:えっ (スコア:0)

Re:えっ (スコア:0)

Re:えっ (スコア:0)

体質的 (スコア:1)

10.2系の今後のサポート (スコア:1, 参考になる)

Re:10.2系の今後のサポート (スコア:0)

Re:10.2系の今後のサポート (スコア:1, 興味深い)

不要なプロセス (スコア:1)

Re:不要なプロセス (スコア:1)

Microsoft プロダクト サポート ライフサイクル (スコア:1)

OS のサポートポリシー (スコア:1)

いつも思うんだけど、 (スコア:1, すばらしい洞察)

Re:いつも思うんだけど、 (スコア:1)

MSセクション希望 (スコア:1, すばらしい洞察)

率直な感想． (スコア:0, 荒らし)

今回の件に関しては、Microsoftこそ見習うべき (スコア:1)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:3, すばらしい洞察)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:2)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)

Re:率直な感想． (スコア:1, すばらしい洞察)

Re:率直な感想． (スコア:0)

率直な感想． (スコア:0, 荒らし)

パッチ欲しければOS買え (スコア:0)

Re:2日じゃ無理でしょ (スコア:1)

Microsoft プロダクトサポートライフサイクル (スコア:1)