現在地 HOME > 掲示板
> IT6 > 941.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 941.html
★阿修羅♪
|
|
| Tweet |
(回答先: MS、IFrame脆弱性を修正する緊急パッチをリリース【IT_Media記事】 投稿者 クエスチョン 日時 2004 年 12 月 02 日 21:10:20)
セキュリティ情報の緊急公開と事前告知のトレードオフ【MSのBlogです。(^^;】
社内Blogの体裁ですが、かなり社外を意識しているのがアリアリですね。(笑)
フィードは
http://www.exconn.net/Blogs/team02/rss.aspx
です。
※ブラウザがFireFoxなら、右下のアイコンをクリックするだけでBlogフィードの設定を簡単にできます。(プレリリースの時には文字通り「RSS」と言うアイコンでしたが、デザインが変わりました。)
IT板内の関連投稿
◎MSのセキュリティ チームがBlogをはじめたそうです。【ここ阿修羅IT板の存在が絶対に影響していると思ってます(笑)
http://www.asyura2.com/0406/it06/msg/871.html
投稿者 クエスチョン 日時 2004 年 11 月 26 日 22:31:58:WmYnAkBebEg4M
********************************************************************************
セキュリティ情報の緊急公開と事前告知のトレードオフ
http://www.exconn.net/Blogs/team02/archive/2004/12/02/188.aspx
小野寺です。
本日 Internet Explorer の Iframe に関する脆弱性のセキュリティ更新プログラムを公開しました。
既に、悪用手法が公開され、実際に悪用されていたため12月の定例公開日を待たずに公開となりました。 IT 部門の方々には予定外の公開で通常以上の負担をかけてしまうのは申し訳ない限りです。
さて、この緊急の公開についても、事前告知が行えないかが社内のセキュリティ担当者で話し合われました。(と、いっても前日に告知できるかというレベルですが・・・) 結論は、告知せずに公開と決まりました。 事前告知を行った方が、IT 部門の方への負担が幾分軽くなる可能性があると思っています。しかし、告知を行うと、告知からセキュリティ更新プログラムの公開までの間に、駆込み的に悪用が増加する可能性が高く、告知を断念しました。
脆弱性の悪用方法が公開されていない、または、告知内容から悪用方法が特定できない場合は、事前告知を行うこともできたのかもしれません。マイクロソフトからアナウンスを行うことでリスクを高めてしまう可能性と、IT 部門の方の負担軽減が今回はトレード・オフされてしまいました。今後の同様のシチュエーションでよりよいバランスを見つけるのが、セキュリティチームの大きな課題となってしまいました。
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。
投稿日時 : 2004年12月2日 14:30
題名には必ず「阿修羅さんへ」と記述してください。