パスワードを忘れた? アカウント作成
12791 story

「安全と思われていて実は危険な15の有名ソフトウェア」発表される 157

ストーリー by yoosee
修正・更新可能な物はちゃっちゃと対応しましょう 部門より

hylom曰く、"アメリカのセキュリティ調査企業である Bit9 が 20日、「安全だと思われているが、実は危険な脆弱性がある有名ソフトウェア」ベスト15を発表した(インプレスの関連記事Bit9のプレスリリースPDF形式の詳細な内容)。同社によれば、このリストはソフトウェアの人気度・危険性の認知度・脆弱性の度合・手動での修正が必要かどうか等からレーティングをしているようだ。「危険なアプリケーション」トップ5として

1位:Mozilla Firefox 1.0.7
2位:Apple iTunes 6.02 & Quicktime 7.0.3
3位:Skype 1.4
4位:Adobe Acrobat Reader 7.02,6.03
5位:Sun Java Run-Time Environment JRE5.0 Update 3, JRE 1.4.2_08
が挙げられており、トップ15には他にもFlash PlayerやReal Playerなどが挙げられている。

公開されたPDFでは各ソフトウェアのどこが危険なのかも明記されており、またベンダーによってパッチなどの対策がとられているかも書かれている。ただ、このトップ15中にMicrosoft製アプリケーションはWindows/MSN Messanger以外は含まれていない。たとえば Firefoxの脆弱性解説には「メモリ管理機能に不備があることに加え、悪意のあるHTMLやスクリプトの実行を許可してしまう」とあるのだが、これは皆様ご存知の通りIEにも同様な脆弱性がある。 このようなリストを公開して脆弱性に対する意識喚起を図るのは良いが、これでは「MS製品以外は使うな」と言っているに等しく、むしろリストの正当性が損なわれてしまうと思うのだがいかがだろうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2006年06月23日 22時05分 (#966026)
    > これでは「MS製品以外は使うな」と言っているに等しく

    Firefox や Adobe のソフトなどは最新版へのアップデートで対応できるんだから、使うな
    と言うことは無いですよね。

    判断基準の構成要素に「認知度」と「手動での更新が必要なこと」があるんだから、そうした
    脆弱性がよく出ると認知されていて、基本的に自動でのアップデートがある MS 製品が上位に
    来ないのは納得できると思いますよ。
    • 早速昨日顧客から「それ見たことか」と言われたうちの一人です。

      確かによくよく読めば最新版のアップデートやパッチですべて解決可能なものであることには異論はありませんが、物事を表面でしかとらえない方々も数多くいらっしゃるのも事実なわけで、早速昨日お客様より「それ見たことか! だからMicrosoft製品にしておけば安心だったんだよ! (Microsoftの)営業さんもそう言ってたじゃないか!」と怒られてしまいました。

      実際はそうでなくても「使うな」と誤解させるに十分な材料ではあるように思います。

      親コメント
    • 加えて判断規準には、frequently downloaded by individuals
      「個人がダウンロードしたもの」があるので
      パッケージ製品はターゲットではありません。

      OSの一部のアレとか、OSの一部のアレとか。
      親コメント
    • by Anonymous Coward on 2006年06月24日 13時34分 (#966351)
       自動アップデートでよく出てくるメッセージもある意味問題。

       自分が知る範囲では、アップデートのメッセージがうるさいからといって更新機能をを削除したり、アンチウイルスソフトをアンインストールする人がかなりの割合でいます。(ゲーマー、使いたくないけど仕方なく電子商取引のみで使っている人など)
       いっそのこと、こういう人たち向けに更新が必要な最初の一回だけメッセージをだし、以後は、黙って更新するような機能を備えてほしいと思います。彼らにとってパソコンは、単なる目的を果たすために必要な道具以上の何者でもなく、自分たちが使いたいときに能率を落とすような行為はいくら作り手が重要と思ってつけた機能であっても単に邪魔な機能としか見てくれません。
      親コメント
      • by miishika (12648) on 2006年06月24日 23時17分 (#966518) 日記
        >彼らにとってパソコンは、単なる目的を果たすために必要な道具以上の何者でもなく、自分たちが使いたいときに能率を落とすような行為はいくら作り手が重要と思ってつけた機能であっても単に邪魔な機能としか見てくれません。

        道具を問題のない(少なくとも自分や他人にケガをさせない)状態に保っておくのも、プロの仕事の内だと思います。面倒くさいから手入れをしないというのは、プロとして失格ではないでしょうか。
        親コメント
    • by Anonymous Coward on 2006年06月23日 22時20分 (#966041)
      上位の五つはいずれもオートアップデートの機能があるか、通知を行う機能があったように思うのですが(少なくとも現行バージョンでは)
      親コメント
      • by Anonymous Coward on 2006年06月23日 22時45分 (#966070)
        少なくともFirefox1.0.xは通知機能がハリボテでした。通知されません。
        手動でアップデートを探す機能はありましたがそれでアップデートすると[プログラムの追加と削除]に多重で登録されていきました。

        現行の1.5.xこそが1.0として名づけられるべきだったんじゃなかろうかとも思います。
        #当時Firefoxを素人に勧めたひとは責任もってバージョンアップを促すよーに。
        親コメント
    • by 65535 (25198) on 2006年06月23日 22時56分 (#966081)
      >判断基準の構成要素に「認知度」と「手動での更新が必要なこと」があるんだから

      Firefoxは自動アップデート機能付いてますけど。
      1.0.7からアップする時って手動必要でしたっけ?(もう忘れた)

      むしろMessanger以外のMS製品は安全と思われていないからリストに載っていないのであるまいか。
      そう勘ぐった私が居る。
      親コメント
    • by Anonymous Coward on 2006年06月23日 22時33分 (#966055)
      いや、アップデートできるからといって
      セキュアになるとは限らん、そもそも
      それを直すどころか機能が増えていくだけなのが現状
      親コメント
  • 殿堂入り? (スコア:5, おもしろおかしい)

    by yaizawa (11984) on 2006年06月23日 22時14分 (#966035) ホームページ

    これでは「MS製品以外は使うな」と言っているに等しく、むしろリストの正当性が損なわれてしまうと思うのだがいかがだろうか。

    M$製品を入れすぎるとリストが独占されてしまうので「殿堂入り」として別にしました.(違

    • by kamary (7751) on 2006年06月24日 1時49分 (#966181) 日記
      危険だと思われているMS製品で、実はさほど危険ではないもの、ってあります?
      煽りではなく、マジレス希望。

      #MS明朝とMSゴシック以外で思い浮かばなかった。
      親コメント
      • Re:では逆に (スコア:2, おもしろおかしい)

        by gendohki (16311) on 2006年06月24日 7時00分 (#966243)
        sol.exeとfreecell.exe。
        中毒性と感染性が高いですが、命に別状が無いことが大半なので。

        #winmine.exeは私にはいまいち。
        --
        「なんとかインチキできんのか?」
        親コメント
  • by Anonymous Coward on 2006年06月23日 22時26分 (#966049)
    安全と思われていて」の部分に該当しないからでは?
    • by Anonymous Coward on 2006年06月24日 0時15分 (#966141)
      「すばらしい洞察」とモデしている人はリンク先の記事を読むとかしないのか?


      Bit9は今回、アプリケーションを列挙するための基準として、
      1)コンシューマに人気のあるソフトで、個人的にダウンロードされていること、
      2)ウイルスやスパイウェアのような危険なソフトウェアとして企業で認識されていないこと、
      3)米NISTの脆弱性データベースにクリティカルな脆弱性があるとして登録されていること、
      4)脆弱性のリスクをレーティングするCVSSにおいて7.0から10.0のレーティングをされていること、
      5)脆弱性を修復するためにエンドユーザーが手動でソフトウェアをアップグレードする必要があること
      ──の5点を挙げている。

      最初からインストールされているIEやOEや買ってきて入れるパッケージソフトのOfficeが対象になるわけがない。
      親コメント
      • by Anonymous Coward on 2006年06月24日 1時44分 (#966176)
        いや、だからそんな特殊な条件をBit9の推測に基づいて設定したことで、
        1)コンシューマに人気のあるソフトで、個人的にダウンロードされていること、
        iTunesならWMP6(win2kデフォ)などの時代遅れと比較したわけかね
        Firefox1.0.7も1.5ではないというのは、IE5(win2kデフォ)と比較した?

        2)ウイルスやスパイウェアのような危険なソフトウェアとして企業で認識されていないこと
        まあ、これは列挙するまでも無く命題を設定している大前提だわな

        3)米NISTの脆弱性データベースにクリティカルな脆弱性があるとして登録されていること、
        そのデータと、ユーザーの意識のズレを算出した妥当性が不明

        4)脆弱性のリスクをレーティングするCVSSにおいて7.0から10.0のレーティングをされていること、
        大体1の条件で絞り込んだ後に、こんな数値でソートしたって意味があるのかなあ

        5)脆弱性を修復するためにエンドユーザーが手動でソフトウェアをアップグレードする必要があること
        Windows(MS)Updateを手動で行う必要があるPCは無いと現実離れした環境が前提?
        と「公正さが欠けているデータだなあ、そこまでするのは、
        安全と思われていないものがユーザーが押し付けられていて、
        時には購入する必要に迫られるソフトを入れると、そいつが上位を占めるという前提で、
        より斬新な調査結果を求めて設定したのだろうなあ、そういえばアレらを
        安全だから使えと言ってる人は見た事無いなあ、すばらしい洞察だなあ」ってつけたんだろう。

        >買ってきて入れるパッケージソフトのOfficeが対象になるわけがない
        買ってでも入れる、入れざるを得ない言う事は、すでに金を出す程度に
        無条件に信頼をおいてる、おくことを要求されるという事だからね。
        それが無償ソフトよりもCVSSにおいて7.0から10.0のレーティングをされている
        なんて事を示してしまったら、例えマイナーだから少ないだけと言っても、
        マイナーなものを使わせる事はリスク回避の一助にはなると結論が出る恐れがあるので、
        配慮すると1のような条件を恣意的に設定する必要があったと。
        親コメント
  • by moechar (30516) on 2006年06月23日 22時31分 (#966053)
    pdfで配布してわざわざその"危険"なAdobe Acrobat Readerで表示させるのはギャグの一環ですかね?
  • by darc0113 (22971) <darc0113@gmail.com> on 2006年06月23日 22時41分 (#966067)
    安全と思われていて実は危険なネット記事 Firefox Hacks 翻訳日記/ウェブリブログ [webry.info]で、この記事の信憑性に疑問が投げかけられていますよ。
  • by D122 (31308) on 2006年06月23日 23時43分 (#966118)
    省電力だと思われていて実は電気を消費するゲーム機
    1.Wii
    PS3とXBOX360はノミネートされるわけありません。

    違法な目的に使われにくいと思われていて実は違法な目的に使われたことのあるP2Pソフト。
    1.BitTorrent
    Winnyには一票も入りませんでした。

    爆発しない思われていて実は爆発する可能性があるバッテリーの製造国。
    1.日本
    そりゃ、爆発する時は爆発するでしょ。

    ネガティブキャンペーンには最適かも。
    というか、意味が分からん。

    何事も過信は禁物ということなんでしょうけど。。
    全く別の、むしろ逆の意味の評価をまぜちゃうと、情報として意味がなくなっちゃいますよね。
    • by D122 (31308) on 2006年06月24日 1時41分 (#966175)
      ごめん。
      記事のタイトルに流されて、適当なことかいちゃったみたい。

      ちゃんとリンク先を読み直してみたら、企業が対応する必要のあるアプリケーションの優先順位で、理由も至極全うなものでした。
      危険な脆弱性が存在するのに野放図に使われているアプリのうち、ユーザ数が多く、企業にとってトータルでの危険が高そうなのはどれってことですよね。

      確かに、企業内で無秩序にいろんなアプリケーションを使われたら管理するのは大変ですね。
      そういう意味では「MS製品以外は使うな」というのも納得かも。
      というか、許可されていないアプリを勝手に使うのはいかがなものかと。

      まあ、ここまで人気があるんだから、正式にサポートしちゃった方がいいですよっていう推薦ととってくれれば嬉しい人は多そう。
      親コメント
  • by Anonymous Coward on 2006年06月23日 22時08分 (#966030)
    >「危険な脆弱製がある有名ソフトウェア」ベスト15を発表した
    ベストって・・・
  • 前半は…? (スコア:4, すばらしい洞察)

    by LADY_ON_THE_LOOF (30195) on 2006年06月23日 22時17分 (#966038) 日記
    インプレスの記事では

    「安全と思われていて実は危険なソフトウェア15種」

    となっていますが、前半は何処へ行ったのでしょう。

    危険だと思われているソフトは実際の危険性にかかわらず候補に挙がらないように思うのですが。
    実際の危険性ランキングとは違うのではないのですか?
    --
    ----- 傷の治療は傷より痛い -----
  • 旧式 (スコア:4, すばらしい洞察)

    by Angelica (23122) on 2006年06月23日 22時27分 (#966051) 日記
    どれもこれもバージョンが古いものばかりのように見えるんですが…。
    脆弱性を抱えた古いバージョンをいつまでも使ってりゃ危険なのは自明なわけで、この調査が最終的に何を言いたいのかがいまいち不明。
    • Re:旧式 (スコア:4, 興味深い)

      by yoosee (196) on 2006年06月23日 22時37分 (#966063) ホームページ 日記
      そもそもそうした「古いバージョンを使っていると危険」と言う部分の啓蒙をしたいんじゃないでしょうか。

      Firefox などは特に「IEよりも安全」なんていう文句で配布されていたりしたので、インストールして「もうこれで安全だ」と思っている人もいるんだと思います。そう言う人に「いや、それは安全だと思っているだろうけど本当は危険なんだよ」と言う事を伝えるためのランキングなのでは無いかなと。

      と言うことで、「一見安全そう」「結構使われている」「脆弱性の危険度が高い」「自動更新が無い」「個人が自分で勝手に入れる(つまり企業の関知外の?)」といった、危険性に無自覚で使いつづけられそうなソフトウェア(の特定バージョン)が上位に来ているということでしょうね。
      親コメント
    • Re:旧式 (スコア:3, 興味深い)

      by Anonymous Coward on 2006年06月23日 22時33分 (#966056)
      志村~、部門名、部門名!
      #まあ、Firefoxなんかは信者がIEより安全!などと言って導入を勧めたものの、
      #その後のフォローをせずに古いバージョンのまま使っている、というのがありそう
      親コメント
    • Re:旧式 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2006年06月24日 2時03分 (#966187)

      バージヨンが古いものも對象とするならFirefox1.0.7よりもNetscape7.1の方が餘程危険かと。未だに「Netscape 7.1 新登場!」なんて宣傳されてゐるし。

      日本法人が撤退した其の時にサイト閉鎖、配布も止めるべきではなかつたのかと思ふのだが。

      ブラウザ乘り換へで初心者から中級者に成らうとする人が、「Netscapeつて聞いたこと有るな……」とインストールしさうだ。

      ──7.1どころか未だに4.xを使つてゐる人がゐることに驚き。

      親コメント
  • なんかもう (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年06月23日 23時24分 (#966098)
    「実は車は危ない」とか、「やっぱりナイフは危険だった」
    とか言われてるカンジがするよ。
  • 多分 (スコア:2, 興味深い)

    by Elbereth (17793) on 2006年06月24日 1時18分 (#966166)
    要するに、Bit9のセキュリティソフトの宣伝でしかないようですが、
    こういうのに限って、いや限らないけど
    自前でいろいろ脆弱性かかえてて自爆するケース多いよね。
  • by esumi (15966) on 2006年06月24日 2時14分 (#966190)
    これまでの傾向から既に認知されているのではないかと
    思いますが念の為再確認しておきたいですね。

    一般に人気のある、要するに普及している度合いが高い
    アプリケーション程、脆弱性の存在は広く研究・公開され、
    また普及してるが故に被害の拡大を狙うウィルス製作者
    サイドにも狙われ易いのだという事を。

    要するに全てのアプリケーションには現状の開発環境を
    鑑みるに平均的に脆弱性は等しく存在しており、危険度は
    全体でみると大体似たようなものなのではないかということ。
    つまり普及の度合いこそがその発見の頻度と与える結果
    の規模を左右しているに過ぎず、なのであるからして、
    こういった集計を取れば人気のあるソフトウェアが
    上位に並ぶのは意外でもなんでもなく、
    科学的にも当然の結果なのではないのかという事なのですが。

    これは、ソフトウェアというものがバージョンアップ
    という資本主義精神の成れの果てのような名目の元、
    本質的にハードウェアのような「枯れた」状態になり
    難い事こそが、そもそもの原因なのではないかと
    個人的には思います。

    むしろ人気アプリケーションは全てのソフトに存在する
    (と、思われる)潜在的な脆弱性のことごとくが物凄い
    速さで発見・修正されていくのが保障されているとも言えるので、
    修正バッチの適用に注意を怠らない人にとっては
    むしろ有難いと前向きに捕らえたい所です
    (バッチがタダなら、ですが)

    #むしろ評価すべきは脆弱性発見and公開から対応まで
    #の速度だと最近は思ったり。
    #なので修正バッチが出ているのに何時までも脆弱性の
    #残った状態で使い続けるユーザーの認識不足こそ
    #是正していきたいデス
  • 「JRE5.0 Update 3とJRE 1.4.2_08」が抜けていますよ。
    それから、タイトルが「脆弱性」でなくて「脆弱製」となっているのが可笑しいですね。
    --
    Super Souya
  • by Anonymous Coward on 2006年06月23日 23時53分 (#966125)
    問題点を指摘されても、Microsoft製品の方が危険だ!などと自分達の怠慢を放置して、言い逃れをする。
    こんな人たちが作って(関わって)いる製品が、果たして安全といえるのだろうか?

    ・・・っと、タレコミ文読んで、本気でそう感じた。
    MS!MS!と騒ぐ前に、自分達にも落ち度が無かったのか、考えないのかね?

    #深く考えずにMS擁護だと思われて、-1されて無視される予感。
    • by kcg (26566) on 2006年06月24日 1時13分 (#966163) ホームページ 日記
      MSIEもFirefoxも、作っている人は自分たちの製品のほうが優れていると主張します。
      あとは利用者がどう評価するかだけです。

      あなたが見かけた騒いでいた人というのは作っている人でしたか?
      親コメント
    • 少なくとも、作っている当人たちは、危険性を指摘されれば議論を交わし、粛々と対応を行っている。盲目的な信者と呼ばれる方々は確かに要るし、そういう方々が態度を改善すべき部分と言うのは無いわけではないだろうが、そんな彼らを以って、作っている人間や、作られているものに対してまで、根拠の薄い疑義が唱えられるのは、作っている方々にしてみればいささか不当な言いがかりと取られてもしかたがないのではないか?

      そもそも、深く考えずに、と言うが、あなたは何をそれ程深く考えていると言うのか。疑義を唱えることなど、それ程深く考えなければ誰でもできるのだよ。あなたが考える「怠慢」とやらを、まずは調べて示してみなさい。その「怠慢」が、今でも問題となり続けているようなものがどれだけあるというのか?

      もちろん、努力すべきものは探せばいくらでもあるだろう。例えば Firefox 1.0.8 [mozilla-japan.org] (1.0.7 ではないぞ、ていうかなんで 1.0.7 やねん) が Firefox 1.5.x へのアップデートを促すメッセージを一切表示しようとしないのは確かに問題かもしれない (深刻な問題ではないが、オートアップデート機能は 1.5.x 系の方がスマートに動作することは確かだ)。しかしそれならば、CSSXSS 脆弱性などというややこしい問題 (これは場合によっては深刻だ) を抱えた IE6.0、こいつは IE7.0 では修正されるという話らしいが、その IE7.0 が Windows XP SP2 以降にしか対応しない点についても怠慢であると認めざるを得ないだろう。

      頼むから、印象だけで論じて完結はしないで欲しい。もちろん、印象操作を目論んだ Firefox 宣伝舞台のやり方はおいらだって気に食わないし、よくないことだと思う。でもね、一般論で申し訳ないが、落ち度のないプロジェクトも人間も、存在しないのだよ。いくらでも改善できるし、どっちだってもっとよくなる。これからもね。

      # 少なくとも、ソースとなるニュースぐらいは読んでから、深く考え始めようよ。

      --
      むらちより/あい/をこめて。
      親コメント
  • by Anonymous Coward on 2006年06月23日 23時55分 (#966126)
    ADBLOCKを駆使することです。
    インターネットの世界ではアクセするする事が脆弱性をつく原因ですが
    こまめにバナーを潰していくとそのリスクが著しく下がります。
    注)ADBLOCKはスクリプトのブロックにも使えます。
      スクリプトの存在するフォルダー名を指定したり
      専用のドメインを指定すると無力化します。

    #普遍化可能性の問題で言えばバナーな潰しは社会にとってよくないが
    #多くの広告は全体で見ると過剰過ぎである。
    #悪魔はバナーでやってくる…
  • では… (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2006年06月24日 1時49分 (#966182)
    パッチのあたっていないWindowsとどちらが危険ですか?
    • Re:では… (スコア:3, おもしろおかしい)

      by tiatia (22244) on 2006年06月24日 8時20分 (#966258) 日記
      >パッチのあたっていないWindows

      そんなの、「危険だと思われていて、実際に危険」なんだから、改めて注意を呼びかける必要ないじゃないか。
      親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...