★阿修羅♪ > IT8 > 232.html
 ★阿修羅♪
脆弱性トップ20にFirefoxも
http://www.asyura2.com/0505/it08/msg/232.html
投稿者 花いちもんめ 日時 2005 年 7 月 30 日 03:19:06: nxaWF18LQIY7E
 

最近のFirefoxはInternet Explorer並に脆弱性が多い傾向がありますね。

http://www.itmedia.co.jp/enterprise/articles/0507/27/news049.html
脆弱性トップ20にFirefoxやiTunesも

https://www.netsecurity.ne.jp/1_3708.html
Firefoxで検索すると最新バージョン1.0.6でも未解決な脆弱性がヒット


脆弱性トップ20にFirefoxやiTunesも
SANS Instituteの第2四半期の脆弱性トップ20リストには、IEのセキュリティホールのほか、安全と考えられているFirefoxやApple製品の問題も含まれている。

 この3カ月、どこかに身を隠してでもいない限り、注意を要するインターネットセキュリティ脆弱性に出くわしたことだろう。これら最新の脅威は各種の人気クライアント・サーバ側アプリケーションを網羅し、かつては安全と考えられていたものにまで及んでいる。

 SANS Instituteによると、2005年第2四半期には422件のセキュリティ脆弱性が報告された。この数は前年同期から20%、前期から11%の増加となる(7月25日の記事参照)。

 25日に発表されたSANSの最新の脆弱性トップ20は、この422件の脆弱性の中で、企業およびホームユーザーに広範な被害をもたらした最も重大なものを特定している。このリストはMicrosoft、Mozilla Foundation、Apple、RealNetworks、Computer Associates(CA)、Veritasなどで占められている。

 トップ20リストを編集したロヒト・ダマンカー氏はこの日の朝の電話会見で、CAとVeritasのバックアップソフトの問題は特に厄介だと語った。

 6月末にUS-SERTは、Veritasのバックアップサーバに関する開示済みの脆弱性を狙ったスキャンが活発に行われていると警告した(6月28日の記事参照)。

 重要な管理アプリケーションに対する新たな攻撃に関して言えば、バックアップソフトは氷山の一角かもしれない。

 「この先、管理ソフトやライセンシングソフトなど、この種の製品の欠陥は増えると予測できる」(ダマンカー氏)

 SANSが指摘したもう1つの傾向は、MicrosoftのInternet Explorer(IE)、Mozilla Firefox、AppleのiTunes、RealNetworksのRealPlayerなどのクライアント側の製品の脆弱性の増加だ。

 「ユーザーが身を守るために乗り換えている製品のうち2つに脆弱性が見つかった」とSANSの調査ディレクター、アラン・パラー氏。「第2四半期はFirefoxで複数の脆弱性が見つかり、人々が安全だと考えているAppleの製品で複数の脆弱性を修正するアップデートが2件リリースされた」

 「これで安全な逃げ場はないことが分かる」と同氏。

 もっとも、何もかもが悲惨な状態というわけではない。

 SANSのInternet Storm Center(ISC)のCTO(最高技術責任者)のジョアンヌ・ウルリッヒ氏は、特定のサービスを走らせているリモートサーバのポートを探すサービススキャニングは30%減少したとし、これはパーソナルファイアウォールの利用が増えたためだと語った。

 同氏はまた、ApacheやMicrosoft IISなどのWebサーバへの攻撃が減り、Webサーバ上にインストールされたアプリケーションへの攻撃が増えたとしている。

 トップ20リストの脆弱性はすべて、ベンダー各社によりパッチが提供されている。しかし、ユーザーは思ったほど迅速にパッチを適用していないようだ。

 Qualysのゲルハルト・エシェルベックCTOは、サーバ側で脆弱性にパッチが当てられるまでに平均で21日かかると報告している。デスクトップ側では62日かかるが、これは企業ユーザーの場合だという。ホームユーザーはパッチを当てるまでにもっと時間がかかる可能性が高いため、62日というのはちょっと楽観的かもしれないと同氏は指摘した。

 次へ  前へ

  拍手はせず、拍手一覧を見る

▲このページのTOPへ       HOME > IT8掲示板



  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。