Office XPに含まれる脆弱性、「訂正不可能」なため放置 76
ストーリー by hylom
Difficult-to-cure 部門より
Difficult-to-cure 部門より
あるAnonymous Coward 曰く、
MicrosoftはOffice XP/2003/2007で発見された、「重要」とされる脆弱性「MS10-036」について、Office XPに対しては修正パッチをリリースしないそうだ。理由は「Office XPの非常に多くの部分を再度設計し直す必要がある」ため、「修正プログラムを開発することは不可能」だからだそうだ(japan.internet.comの記事)。なお、Office XPはまだ延長サポート期間中であるため、これ以外の脆弱性に関する対策パッチについては基本的にはリリースされている。
脆弱性の修正を諦めるということが許されるのだろうか、また似たような例を知っていたら教えていただきたい。
なお、この脆弱性は4段階の深刻度の基準のうち上から2番目(もっとも深刻なのは「緊急」)であるとのこと。
おふとぴ (スコア:4, おもしろおかしい)
>基本敵にはリリースされている。
味方にはリリースされないのですか?
Re:おふとぴ (スコア:1, おもしろおかしい)
何らかのトラップが仕掛けられているんですかねぇ
#ってMSの敵・味方って誰だろう?
Re:おふとぴ (スコア:2, おもしろおかしい)
敵:金を払わない輩
未だにXPとか使っているのは基本敵だけど
仕方ないのでパッチを配布していますよ。。と
# いや、うちも使ってるけど・・
Re: (スコア:0, オフトピック)
すいません、修正しました。ご指摘ありがとうございます。
似たような例 (スコア:4, 参考になる)
Windows NT 4.0のときにありました。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-010.mspx [microsoft.com]
ほかにも1~2例あったと記憶していますが、すぐには見つけられませんでした。
ならば、より安全な代替ソフトウェアを無償で提供するべき (スコア:3, おもしろおかしい)
# 又は、この脆弱性が原因でないとMSが証明できない全ての顧客側の被害補償要求に対して無限責任を負う、でも良いとは思いますが。恐らく非現実的。
## っ [microsoft.com]
Re:ならば、より安全な代替ソフトウェアを無償で提供するべき (スコア:1, おもしろおかしい)
Re:ならば、より安全な代替ソフトウェアを無償で提供するべき (スコア:2, すばらしい洞察)
Re: (スコア:0)
OS自体も
そうか、電源切ればええねん
乗り換えちゃいなよ(MSにそれを求める?) (スコア:1, 興味深い)
本気で代替 Office suite を検討したらいいです。
Just Suite とかどうでしょう?
OpenOffice.orgももう十分OfficeXP以上のものになってると思うんだけどなぁ...
少なくともクセを分かって使えばですが。
# Mozilla FirefoxにしろOpenOffice.orgにしろ、
# 早いうちに出てきたFOSSものは「Microsoft互換」に縛られ過ぎていると思う。
Re:乗り換えちゃいなよ(MSにそれを求める?) (スコア:1, 興味深い)
手元にexcel2003のxml形式ファイルがあるのだが、これをMS-Excelで開くとOfficeの起動含めて1分(1分ってものすごく重いと思う)
ところがOpenOffice3.xで開くとそんなものじゃない、1時間近くかかる。
で、それってどんなバカなデータだと思うかもしれないけど、単に複数シートにまたがる参照がいっぱいあるだけ。
身の回りの大きめのExcel文書はこの手のが多い自分にとってOpenOfficeはまだまだ精進しないと代替えにはできない。(ODFでセーブしなおしてもダメって事はOpenOfficeに不向きなんだろうけど)
#似た事例の人いないかな~?
Re: (スコア:0, オフトピック)
Microsoft Windows以外の何かというのも同様に。XP jumbo patch(仮称)は作れないと言っているからこれもないですね。
表ストーリーのW2Kから踏み出せない人たちや、XP(sp2)を使い倒す法人ユーザたちは(本人たちに見る目がないからではあるけど)
より安全な代替ソフトウェアを提供されても移行しないであろうことが確実視できます。
つまり移項を拒み続ける人への手段としては何のメリットもないのでより安全な代替ソフトウェアは合意できる解決策にならないであろう。
HKCR/Hcpのレジストリをエクスポート退避させた後でキーを抹消するパッチを配ってお茶を濁す(でも本件の脆弱性は対処済にできる)
という一部機能を犠牲にするのが痛み分けとしては最も低コストで妥協できる対策になるのではないでしょうか。
(#1780653) を取り下げさせてください (スコア:0, オフトピック)
Re: (#1780653) を取り下げさせてください (スコア:1)
元々の発言よりも小さい点数で訂正すると、訂正があることに気づきにくくなる。
1を聞いて0を知れ!
Re: (スコア:0)
>ならば、より安全な代替ソフトウェアを無償で提供するべき
これも非現実的ですな。
(実害の)影響の度合いにもよりますが、業務システムであれば
「運用で回避」ってのも良く有ります。
Re: (スコア:0)
つーかね、XPが駄目なら2003を無償提供ってのは有りだと思うですよ。
2003は販売が終わっている(筈な)のだからMSとしても大して痛くない筈。
2003ならUIは殆ど変わってないから通常の操作は問題ないでしょう。
問題はマクロ(てかVBA)とかでどんな問題が起こるかだけどね。
Re: (スコア:0)
2003ならUIは殆ど変わってないから
2003だったらみんな喜んで飛びついちゃうから、(リボン普及も兼ねて)
- 2010アップグレード権のない2007を配るか
- 安い2010優待アップグレードプログラムを用意するか
かなぁ
Re:ならば、より安全な代替ソフトウェアを無償で提供するべき (スコア:1, 参考になる)
ちょっとわかっている人は、OfficeXPではなくOffice2000を使うと思いますよ。
OfficeXPはMicrosoft Updateに捕まりますから。
#会社で使っていたソフトが間違って不法コピー状態になっていて、それが原因で警告もらったことがあるのでAC
置いてけぼりをくらうのは (スコア:3, 参考になる)
Vistaは(2006年時点で)そもそも動作保証外
Windows2000は延長サポートあと1ヶ月(こじつけだけど、パッチができあがるころには延長サポート終わってる可能性もある)
置いてけぼりはWindows2003? 2003R2でも動くのかな、Office XP。
# yes, fly. no, fry.
MSだからキツく言う人が多いみたいだが… (スコア:3, 参考になる)
>G. 無保証
>保証は規定しません。マイクロソフトは、債務不履行、瑕疵担保、不法行為その他請求の性質を
>問わず、本ソフトウェアの品質に関して本品質保証規定に定める以外にはいかなる責任も負いません。
マイクロソフト ソフトウェア使用許諾契約書より
ちょっとなら直すけど、修正規模が大きすぎて直せないって普通の判断だと思いますが。
なんか大きな企業に求めすぎな人大杉。
Re:MSだからキツく言う人が多いみたいだが… (スコア:2, 興味深い)
これはソフトウェア業界にも責任の一端があると思う。
そもそも、ある一定以上の規模のソフトウェアというものは、どうしても完全にバグフリーということはありえないし、納品時点では問題なくても将来に渡って安全とは言いきれない。そういう事実が、厳然としてある。
しかし、売るときは、さも「完全な製品であり、サポートも充実」と謳って消費者に買わせる。
そして、売っておいてから、いざ問題が出てくれば「ソフトウェアというのはそういうものです」と諭す。開発元がそういわなくても、「PCに詳しい人」が代弁してくれちゃう。
これって、アンフェアじゃないかなーと思ったりする。
売るときに、サポートの期限を明確に区切ったり、重大なバグが潜在的に存在し、場合によっては修正が出来ない(新バージョンを購入する方法しかない)ことを、購買者に伝える義務があると思うのだが。
もちろん、そうすることで買わない客も増えるだろうが、よく知らない素人を騙して買わせるようなマネはどうかな、と常々思ってた。
買う前のことなので、EULAに書いてあるから良い、という問題じゃない。
Re:MSだからキツく言う人が多いみたいだが… (スコア:1)
>しかし、売るときは、さも「完全な製品であり、サポートも充実」と謳って消費者に買わせる。
それはMSも率先してやってきた企業の一つではないのですか?
ここでもしMSがそういう主張をしたのなら、「加害者のくせに被害者ぶるな」と言う所だよ。
>:MSだからキツく言う人が多いみたいだが…
それにバグが修正できるかどうかは、技術的以上に経済的な事情である場合が多い。
売れてないソフトだと修正しようにも修正する予算がない。しかしMS-Officeで
予算がないから修正できないなどということはあるまい。
#「巨大なスパゲティプログラムだから修正費用も天文学的数字になる」という
#可能性もあるが、たとえそうでもスパゲティプログラムを作ったのもMSの責任だよ。
だから新しいOfficeをムリヤリ買わせるための計画的陳腐化だと揶揄されるのは当然。
もしこれが「Offie 2007に修正不可能なバグが出たので、これからはOffice2003を買ってください」
というニュースだったら、ユーザーは一体どう思うことだろう?
Re:MSだからキツく言う人が多いみたいだが… (スコア:1, すばらしい洞察)
>誤解を招く書き方だったかな。
普通招かないよ、
よっぽどMSが嫌いなんだろ
Re:MSだからキツく言う人が多いみたいだが… (スコア:1)
>ただ、MSだけでなく、ソフトウェアを開発・販売している業界そのものが、こうした傾向を持ってるのでは?と思ったわけです。
小さなソフト会社としてはその弁も理解できる。
しかしMSはただの中小ソフトウエア会社ではなく、世界でもトップクラスのソフトウエア会社なのです。
MSの発言は無視できない影響力を持っており、その方向性を変えようと思えばいくらでもできたはず。
それをやらなかった以上は責任は免れないよ。
過去の例 (スコア:1)
マイクロソフトのTCP/IP脆弱性修正パッチ、XP用は提供されず [srad.jp]
まあ深刻度は違いますけど…
Fix it (スコア:1, 興味深い)
http://support.microsoft.com/kb/983235 [microsoft.com]
Windows XP + Office XP 向けのFix itは提供されてるんですけどね。
そんなに違うの? (スコア:1, すばらしい洞察)
これってさ (スコア:1)
発注書の数字をファイルを閉じる直前に書き換えられたら、割と簡単に人生踏み外さない?
--
#訴訟しても、脆弱性を攻撃するようなプログラムの侵入を許したユーザーが悪い。で終わりそうで怖い
Re: (スコア:0)
発注書の桁上がったら承認レベル上がるから自分の首自分で飛ばすのも結構難しいんじゃ?
#緊縮財政で10万円から工場長決済がないと注文出せないから直材一つ買うにも週イチの会議で説明してる
心配しなくていいと書いてあった (スコア:1)
心配しなくていいとまでは書いてないけど、記事を読んだ印象じゃ『攻撃の可能性が少ない』から大丈夫だよって 大手のニュースサイトさんが言ってるんでそんなに気にする必要はない話じゃないんでしょうか?
以下抜粋
「Office XP ユーザーにとって幸運だったのは、この認証技術における脆弱性は、Microsoft の深刻度の基準において、4段階のうち上から2番目の「重要」であるという点だ。これは悪意のあるクラッカーによる攻撃の可能性が少ないことを意味する。」
6月11日のYAHOO!Japanニュースから 記事名「Microsoft、『Office XP』のバグを「訂正不可能」として修正せず」 より
Re:心配しなくていいと書いてあった (スコア:1)
そんな事はない。
確かに「セキュリティソフトを導入していて」「該当プロダクトが本脆弱性を悪用する際の攻略法を原理面から検出可能」であるなら比較的大丈夫でしょう。
ですが今回は、ファイルを開いたらコードが実行される系なので悪用するウィルスの発生等で今後脅威度が上がる可能性は十分有り得ます。
ただし、どれだけのユーザーが未だにOffice XPを使用しているかによると思いますが・・・
# あと1時間もしたらOffice2010が一般発売開始されるしね。
Re: (スコア:0)
>pengin_shinbun (36276) : 2010年06月16日 19時35分 (#1781104)
>心配しなくていいとまでは書いてないけど、
書いてないのかよ!うそつき。
もちろんFIXされるにこしたことはないが (スコア:1)
直すためのコードをたくさん追加したらそこにエンバグってのは
いままでのMS製品でも他社製品でもよくあった話。
緊急度が低いのならやむを得ない。
だいたい、KBに載っていて未修正のバグだって、
Bugtraqとかに報告されていてMSのコメントのない脆弱性だって
他にもいろいろあるんだから、この問題だけ取り上げて
MSけしからんって話には違和感を感じる。
やべっと思ったけど (スコア:0)
MicrosoftUpdateを待ちます。
いよいよMSも (スコア:0)
もしも自分の作ったコードだったら (スコア:0)
Re:もしも自分の作ったコードだったら (スコア:1)
想定してる「客」が違うかも知れませんが、自分のミスなのにそんな言い方したら怒らせるだけのような気が……。
自分の場合は不特定多数ではなく特定のお客さん向けの仕事なので、まずは「こういう運用で回避できますのでそれでなんとか……」という感じかなぁ。
Re:もしも自分の作ったコードだったら (スコア:1)
瑕疵期間と保守契約次第でしょうかね。
保守契約に入ってるならそういうコストは負担してるはずなので。
◆IZUMI162i6 [mailto]
Re: (スコア:0)
Re:もしも自分の作ったコードだったら (スコア:1)
>想定外
それでもあんな言い方したらやっぱり怒らせるだけだと思いますが……。
プロプラだからといって (スコア:0)
サポートが手厚いというわけではないという例に使われそうな事例を作るとは思えない。
あとから「やっぱり修正します」ってなるんじゃないだろうか。
じゃないと商売の屋台骨から崩れてしまいそうな。
Re:プロプラだからといって (スコア:4, 参考になる)
それは、「Office XP のユーザが依然として多い」という前提があってはじめて成り立つと思います。
ひとつの指標として、http://www.xpnet.com/charts.htm [xpnet.com] の「Office Suite Share」によれば、海外では Office 2007 への移行がかなり進んだようで、Office 2003 が続きます。
Office XP は、2000 とあわせてもわずかしかありません。
これは当該サイトが提供しているツールによる集計だそうなので、ほかの調査はまた違うかもしれません。しかし傾向としては同じであれば、第三者から見ても、Office XP をサポートし続ける意義がどれだけあるか疑問です。
日本では傾向が違って、Office XP 以前を使い続けるユーザが無視できない比率なのかもしれません。確認できる資料は見つけられませんでした。
これって、MS の新たな販促ですか (スコア:0)
mixi (スコア:0)
で、対応できませんでしたって。
Re:mixi (スコア:1)
画像のURLをランダムにして一定時間でURLが変わるようにしたんでしたよね。たしか。
◆IZUMI162i6 [mailto]
まぁ、 (スコア:0)
8年前3世代前の製品ですからね。
他の会社に比べれば、長いもんでしょ。
Re:まぁ、 (スコア:1, 参考になる)
http://www.microsoft.com/japan/office/previous/2003/business/lifecycle.mspx
Re: (スコア:0)
味方いないよね。全部敵だね。
Re:当然 (スコア:1)
敵の敵は味方。
#「敵の敵は素敵!」『で、どうやってネゴしろと?』
Re:COM... (スコア:1)