「安全と思われていて実は危険な15の有名ソフトウェア」発表される 157
ストーリー by yoosee
修正・更新可能な物はちゃっちゃと対応しましょう 部門より
修正・更新可能な物はちゃっちゃと対応しましょう 部門より
hylom曰く、"アメリカのセキュリティ調査企業である Bit9 が 20日、「安全だと思われているが、実は危険な脆弱性がある有名ソフトウェア」ベスト15を発表した(インプレスの関連記事、Bit9のプレスリリース、PDF形式の詳細な内容)。同社によれば、このリストはソフトウェアの人気度・危険性の認知度・脆弱性の度合・手動での修正が必要かどうか等からレーティングをしているようだ。「危険なアプリケーション」トップ5として
1位:Mozilla Firefox 1.0.7が挙げられており、トップ15には他にもFlash PlayerやReal Playerなどが挙げられている。
2位:Apple iTunes 6.02 & Quicktime 7.0.3
3位:Skype 1.4
4位:Adobe Acrobat Reader 7.02,6.03
5位:Sun Java Run-Time Environment JRE5.0 Update 3, JRE 1.4.2_08
公開されたPDFでは各ソフトウェアのどこが危険なのかも明記されており、またベンダーによってパッチなどの対策がとられているかも書かれている。ただ、このトップ15中にMicrosoft製アプリケーションはWindows/MSN Messanger以外は含まれていない。たとえば Firefoxの脆弱性解説には「メモリ管理機能に不備があることに加え、悪意のあるHTMLやスクリプトの実行を許可してしまう」とあるのだが、これは皆様ご存知の通りIEにも同様な脆弱性がある。 このようなリストを公開して脆弱性に対する意識喚起を図るのは良いが、これでは「MS製品以外は使うな」と言っているに等しく、むしろリストの正当性が損なわれてしまうと思うのだがいかがだろうか。"
判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:5, すばらしい洞察)
Firefox や Adobe のソフトなどは最新版へのアップデートで対応できるんだから、使うな
と言うことは無いですよね。
判断基準の構成要素に「認知度」と「手動での更新が必要なこと」があるんだから、そうした
脆弱性がよく出ると認知されていて、基本的に自動でのアップデートがある MS 製品が上位に
来ないのは納得できると思いますよ。
脊髄反射する人々 (Re:判断基準や対策(Vendor's Solution)をよく見ましょう) (スコア:5, 興味深い)
早速昨日顧客から「それ見たことか」と言われたうちの一人です。
確かによくよく読めば最新版のアップデートやパッチですべて解決可能なものであることには異論はありませんが、物事を表面でしかとらえない方々も数多くいらっしゃるのも事実なわけで、早速昨日お客様より「それ見たことか! だからMicrosoft製品にしておけば安心だったんだよ! (Microsoftの)営業さんもそう言ってたじゃないか!」と怒られてしまいました。
実際はそうでなくても「使うな」と誤解させるに十分な材料ではあるように思います。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:4, 参考になる)
「個人がダウンロードしたもの」があるので
パッケージ製品はターゲットではありません。
OSの一部のアレとか、OSの一部のアレとか。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:3, おもしろおかしい)
もしかするとこの条件にひっかっかった?
/K
自動アップデートメッセージ (スコア:4, 興味深い)
自分が知る範囲では、アップデートのメッセージがうるさいからといって更新機能をを削除したり、アンチウイルスソフトをアンインストールする人がかなりの割合でいます。(ゲーマー、使いたくないけど仕方なく電子商取引のみで使っている人など)
いっそのこと、こういう人たち向けに更新が必要な最初の一回だけメッセージをだし、以後は、黙って更新するような機能を備えてほしいと思います。彼らにとってパソコンは、単なる目的を果たすために必要な道具以上の何者でもなく、自分たちが使いたいときに能率を落とすような行為はいくら作り手が重要と思ってつけた機能であっても単に邪魔な機能としか見てくれません。
Re:自動アップデートメッセージ (スコア:2, すばらしい洞察)
道具を問題のない(少なくとも自分や他人にケガをさせない)状態に保っておくのも、プロの仕事の内だと思います。面倒くさいから手入れをしないというのは、プロとして失格ではないでしょうか。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:2, 参考になる)
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:3, 参考になる)
手動でアップデートを探す機能はありましたがそれでアップデートすると[プログラムの追加と削除]に多重で登録されていきました。
現行の1.5.xこそが1.0として名づけられるべきだったんじゃなかろうかとも思います。
#当時Firefoxを素人に勧めたひとは責任もってバージョンアップを促すよーに。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:3, 参考になる)
1.0.xでも最近の物は直っていたはずです。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:2, すばらしい洞察)
Firefoxは自動アップデート機能付いてますけど。
1.0.7からアップする時って手動必要でしたっけ?(もう忘れた)
むしろMessanger以外のMS製品は安全と思われていないからリストに載っていないのであるまいか。
そう勘ぐった私が居る。
Re:判断基準や対策(Vendor's Solution)をよく見ましょう (スコア:1, すばらしい洞察)
セキュアになるとは限らん、そもそも
それを直すどころか機能が増えていくだけなのが現状
殿堂入り? (スコア:5, おもしろおかしい)
M$製品を入れすぎるとリストが独占されてしまうので「殿堂入り」として別にしました.(違
では逆に (スコア:1)
煽りではなく、マジレス希望。
#MS明朝とMSゴシック以外で思い浮かばなかった。
Re:では逆に (スコア:2, おもしろおかしい)
中毒性と感染性が高いですが、命に別状が無いことが大半なので。
#winmine.exeは私にはいまいち。
「なんとかインチキできんのか?」
MS製品がのっていないのは・・・・ (スコア:5, すばらしい洞察)
Re:MS製品がのっていないのは・・・・ (スコア:3, 参考になる)
最初からインストールされているIEやOEや買ってきて入れるパッケージソフトのOfficeが対象になるわけがない。
Re:MS製品がのっていないのは・・・・ (スコア:2, すばらしい洞察)
と「公正さが欠けているデータだなあ、そこまでするのは、
安全と思われていないものがユーザーが押し付けられていて、
時には購入する必要に迫られるソフトを入れると、そいつが上位を占めるという前提で、
より斬新な調査結果を求めて設定したのだろうなあ、そういえばアレらを
安全だから使えと言ってる人は見た事無いなあ、すばらしい洞察だなあ」ってつけたんだろう。
>買ってきて入れるパッケージソフトのOfficeが対象になるわけがない
買ってでも入れる、入れざるを得ない言う事は、すでに金を出す程度に
無条件に信頼をおいてる、おくことを要求されるという事だからね。
それが無償ソフトよりもCVSSにおいて7.0から10.0のレーティングをされている
なんて事を示してしまったら、例えマイナーだから少ないだけと言っても、
マイナーなものを使わせる事はリスク回避の一助にはなると結論が出る恐れがあるので、
配慮すると1のような条件を恣意的に設定する必要があったと。
危険なアプリケーションと称しながらも (スコア:5, 興味深い)
Re:危険なアプリケーションと称しながらも (スコア:1)
つ [Xpdf [foolabs.com]]
# 私は使ってないですが.(汗
Re:危険なアプリケーションと称しながらも (スコア:1)
Re:危険なアプリケーションと称しながらも (スコア:1)
--S0R5
Re:Mac版iTunes, QuickTimeは SoftwareUpdate 可能 (スコア:3, 参考になる)
わかりにくいのは確かですが、今でもQuickTime単体のダウンロードはできますよ。
QuickTimeダウンロードページ [apple.com]の右段中程に
QuickTime Player単体でのダウンロード [apple.com]というリンクがあります。
実は自社製品の宣伝? (スコア:5, 興味深い)
Re:実は自社製品の宣伝? (スコア:1, すばらしい洞察)
Re:実は自社製品の宣伝? (スコア:1, すばらしい洞察)
Re:実は自社製品の宣伝? (スコア:1)
一足すマイナス一はゼロ。あとは気分でどうぞ。 (スコア:5, すばらしい洞察)
1.Wii
PS3とXBOX360はノミネートされるわけありません。
違法な目的に使われにくいと思われていて実は違法な目的に使われたことのあるP2Pソフト。
1.BitTorrent
Winnyには一票も入りませんでした。
爆発しない思われていて実は爆発する可能性があるバッテリーの製造国。
1.日本
そりゃ、爆発する時は爆発するでしょ。
ネガティブキャンペーンには最適かも。
というか、意味が分からん。
何事も過信は禁物ということなんでしょうけど。。
全く別の、むしろ逆の意味の評価をまぜちゃうと、情報として意味がなくなっちゃいますよね。
管理者向けのリストだったんですね (スコア:2, 参考になる)
記事のタイトルに流されて、適当なことかいちゃったみたい。
ちゃんとリンク先を読み直してみたら、企業が対応する必要のあるアプリケーションの優先順位で、理由も至極全うなものでした。
危険な脆弱性が存在するのに野放図に使われているアプリのうち、ユーザ数が多く、企業にとってトータルでの危険が高そうなのはどれってことですよね。
確かに、企業内で無秩序にいろんなアプリケーションを使われたら管理するのは大変ですね。
そういう意味では「MS製品以外は使うな」というのも納得かも。
というか、許可されていないアプリを勝手に使うのはいかがなものかと。
まあ、ここまで人気があるんだから、正式にサポートしちゃった方がいいですよっていう推薦ととってくれれば嬉しい人は多そう。
重箱の隅でもつついてみるか (スコア:4, おもしろおかしい)
ベストって・・・
前半は…? (スコア:4, すばらしい洞察)
「安全と思われていて実は危険なソフトウェア15種」
となっていますが、前半は何処へ行ったのでしょう。
危険だと思われているソフトは実際の危険性にかかわらず候補に挙がらないように思うのですが。
実際の危険性ランキングとは違うのではないのですか?
----- 傷の治療は傷より痛い -----
なるほど (スコア:5, すばらしい洞察)
このリストには載らないわけか…
Re:なるほど (スコア:2, 興味深い)
でもまあ、危険と思われてるのがMS製品とは限りませんし。
個人的には”Realって安全に見えるか?”っていうのが疑問。:P
----- 傷の治療は傷より痛い -----
Re:前半は…? (スコア:4, 参考になる)
本文で"not classified as malicious software"と書かれている部分が「安全と思われていて」となったのだと思いますが、若干ニュアンスが異なるように思います。
Re:前半は…? (スコア:1)
掲載後に慌てて付け足しました。
旧式 (スコア:4, すばらしい洞察)
脆弱性を抱えた古いバージョンをいつまでも使ってりゃ危険なのは自明なわけで、この調査が最終的に何を言いたいのかがいまいち不明。
Re:旧式 (スコア:4, 興味深い)
Firefox などは特に「IEよりも安全」なんていう文句で配布されていたりしたので、インストールして「もうこれで安全だ」と思っている人もいるんだと思います。そう言う人に「いや、それは安全だと思っているだろうけど本当は危険なんだよ」と言う事を伝えるためのランキングなのでは無いかなと。
と言うことで、「一見安全そう」「結構使われている」「脆弱性の危険度が高い」「自動更新が無い」「個人が自分で勝手に入れる(つまり企業の関知外の?)」といった、危険性に無自覚で使いつづけられそうなソフトウェア(の特定バージョン)が上位に来ているということでしょうね。
Re:旧式 (スコア:3, 興味深い)
#まあ、Firefoxなんかは信者がIEより安全!などと言って導入を勧めたものの、
#その後のフォローをせずに古いバージョンのまま使っている、というのがありそう
Re:旧式 (スコア:2, おもしろおかしい)
バージヨンが古いものも對象とするならFirefox1.0.7よりもNetscape7.1の方が餘程危険かと。未だに「Netscape 7.1 新登場!」なんて宣傳されてゐるし。
日本法人が撤退した其の時にサイト閉鎖、配布も止めるべきではなかつたのかと思ふのだが。
ブラウザ乘り換へで初心者から中級者に成らうとする人が、「Netscapeつて聞いたこと有るな……」とインストールしさうだ。
──7.1どころか未だに4.xを使つてゐる人がゐることに驚き。
なんかもう (スコア:2, すばらしい洞察)
とか言われてるカンジがするよ。
多分 (スコア:2, 興味深い)
こういうのに限って、いや限らないけど
自前でいろいろ脆弱性かかえてて自爆するケース多いよね。
普及度=危険度の関係性について (スコア:2, 興味深い)
思いますが念の為再確認しておきたいですね。
一般に人気のある、要するに普及している度合いが高い
アプリケーション程、脆弱性の存在は広く研究・公開され、
また普及してるが故に被害の拡大を狙うウィルス製作者
サイドにも狙われ易いのだという事を。
要するに全てのアプリケーションには現状の開発環境を
鑑みるに平均的に脆弱性は等しく存在しており、危険度は
全体でみると大体似たようなものなのではないかということ。
つまり普及の度合いこそがその発見の頻度と与える結果
の規模を左右しているに過ぎず、なのであるからして、
こういった集計を取れば人気のあるソフトウェアが
上位に並ぶのは意外でもなんでもなく、
科学的にも当然の結果なのではないのかという事なのですが。
これは、ソフトウェアというものがバージョンアップ
という資本主義精神の成れの果てのような名目の元、
本質的にハードウェアのような「枯れた」状態になり
難い事こそが、そもそもの原因なのではないかと
個人的には思います。
むしろ人気アプリケーションは全てのソフトに存在する
(と、思われる)潜在的な脆弱性のことごとくが物凄い
速さで発見・修正されていくのが保障されているとも言えるので、
修正バッチの適用に注意を怠らない人にとっては
むしろ有難いと前向きに捕らえたい所です
(バッチがタダなら、ですが)
#むしろ評価すべきは脆弱性発見and公開から対応まで
#の速度だと最近は思ったり。
#なので修正バッチが出ているのに何時までも脆弱性の
#残った状態で使い続けるユーザーの認識不足こそ
#是正していきたいデス
JREのバージョンが抜けています (スコア:1)
それから、タイトルが「脆弱性」でなくて「脆弱製」となっているのが可笑しいですね。
Super Souya
Firefoxなどはやっぱり危険だ (スコア:1, フレームのもと)
こんな人たちが作って(関わって)いる製品が、果たして安全といえるのだろうか?
・・・っと、タレコミ文読んで、本気でそう感じた。
MS!MS!と騒ぐ前に、自分達にも落ち度が無かったのか、考えないのかね?
#深く考えずにMS擁護だと思われて、-1されて無視される予感。
Re:Firefoxなどはやっぱり危険だ (スコア:2, すばらしい洞察)
あとは利用者がどう評価するかだけです。
あなたが見かけた騒いでいた人というのは作っている人でしたか?
Re:Firefoxなどはやっぱり危険だ (スコア:2, すばらしい洞察)
少なくとも、作っている当人たちは、危険性を指摘されれば議論を交わし、粛々と対応を行っている。盲目的な信者と呼ばれる方々は確かに要るし、そういう方々が態度を改善すべき部分と言うのは無いわけではないだろうが、そんな彼らを以って、作っている人間や、作られているものに対してまで、根拠の薄い疑義が唱えられるのは、作っている方々にしてみればいささか不当な言いがかりと取られてもしかたがないのではないか?
そもそも、深く考えずに、と言うが、あなたは何をそれ程深く考えていると言うのか。疑義を唱えることなど、それ程深く考えなければ誰でもできるのだよ。あなたが考える「怠慢」とやらを、まずは調べて示してみなさい。その「怠慢」が、今でも問題となり続けているようなものがどれだけあるというのか?
もちろん、努力すべきものは探せばいくらでもあるだろう。例えば Firefox 1.0.8 [mozilla-japan.org] (1.0.7 ではないぞ、ていうかなんで 1.0.7 やねん) が Firefox 1.5.x へのアップデートを促すメッセージを一切表示しようとしないのは確かに問題かもしれない (深刻な問題ではないが、オートアップデート機能は 1.5.x 系の方がスマートに動作することは確かだ)。しかしそれならば、CSSXSS 脆弱性などというややこしい問題 (これは場合によっては深刻だ) を抱えた IE6.0、こいつは IE7.0 では修正されるという話らしいが、その IE7.0 が Windows XP SP2 以降にしか対応しない点についても怠慢であると認めざるを得ないだろう。
頼むから、印象だけで論じて完結はしないで欲しい。もちろん、印象操作を目論んだ Firefox 宣伝舞台のやり方はおいらだって気に食わないし、よくないことだと思う。でもね、一般論で申し訳ないが、落ち度のないプロジェクトも人間も、存在しないのだよ。いくらでも改善できるし、どっちだってもっとよくなる。これからもね。
# 少なくとも、ソースとなるニュースぐらいは読んでから、深く考え始めようよ。
むらちより/あい/をこめて。
一番安全な方法とは (スコア:1, 興味深い)
インターネットの世界ではアクセするする事が脆弱性をつく原因ですが
こまめにバナーを潰していくとそのリスクが著しく下がります。
注)ADBLOCKはスクリプトのブロックにも使えます。
スクリプトの存在するフォルダー名を指定したり
専用のドメインを指定すると無力化します。
#普遍化可能性の問題で言えばバナーな潰しは社会にとってよくないが
#多くの広告は全体で見ると過剰過ぎである。
#悪魔はバナーでやってくる…
Re:一番安全な方法とは (スコア:1, おもしろおかしい)
では… (スコア:1, おもしろおかしい)
Re:では… (スコア:3, おもしろおかしい)
そんなの、「危険だと思われていて、実際に危険」なんだから、改めて注意を呼びかける必要ないじゃないか。
Re:お約束のネタ(-1:余計なもの) (スコア:2, すばらしい洞察)
Bit9の製品を買えば、こういった「危ないソフトウェア」を使っていても、大丈夫だよっていう宣伝。
だから、むしろこのランキングに入ってない、最初から「危ないと思われている」MS製品に移行されては困るはず。