★阿修羅♪ > IT8 > 232.html ★阿修羅♪ |
Tweet |
最近のFirefoxはInternet Explorer並に脆弱性が多い傾向がありますね。
http://www.itmedia.co.jp/enterprise/articles/0507/27/news049.html
脆弱性トップ20にFirefoxやiTunesも
https://www.netsecurity.ne.jp/1_3708.html
Firefoxで検索すると最新バージョン1.0.6でも未解決な脆弱性がヒット
脆弱性トップ20にFirefoxやiTunesも
SANS Instituteの第2四半期の脆弱性トップ20リストには、IEのセキュリティホールのほか、安全と考えられているFirefoxやApple製品の問題も含まれている。
この3カ月、どこかに身を隠してでもいない限り、注意を要するインターネットセキュリティ脆弱性に出くわしたことだろう。これら最新の脅威は各種の人気クライアント・サーバ側アプリケーションを網羅し、かつては安全と考えられていたものにまで及んでいる。
SANS Instituteによると、2005年第2四半期には422件のセキュリティ脆弱性が報告された。この数は前年同期から20%、前期から11%の増加となる(7月25日の記事参照)。
25日に発表されたSANSの最新の脆弱性トップ20は、この422件の脆弱性の中で、企業およびホームユーザーに広範な被害をもたらした最も重大なものを特定している。このリストはMicrosoft、Mozilla Foundation、Apple、RealNetworks、Computer Associates(CA)、Veritasなどで占められている。
トップ20リストを編集したロヒト・ダマンカー氏はこの日の朝の電話会見で、CAとVeritasのバックアップソフトの問題は特に厄介だと語った。
6月末にUS-SERTは、Veritasのバックアップサーバに関する開示済みの脆弱性を狙ったスキャンが活発に行われていると警告した(6月28日の記事参照)。
重要な管理アプリケーションに対する新たな攻撃に関して言えば、バックアップソフトは氷山の一角かもしれない。
「この先、管理ソフトやライセンシングソフトなど、この種の製品の欠陥は増えると予測できる」(ダマンカー氏)
SANSが指摘したもう1つの傾向は、MicrosoftのInternet Explorer(IE)、Mozilla Firefox、AppleのiTunes、RealNetworksのRealPlayerなどのクライアント側の製品の脆弱性の増加だ。
「ユーザーが身を守るために乗り換えている製品のうち2つに脆弱性が見つかった」とSANSの調査ディレクター、アラン・パラー氏。「第2四半期はFirefoxで複数の脆弱性が見つかり、人々が安全だと考えているAppleの製品で複数の脆弱性を修正するアップデートが2件リリースされた」
「これで安全な逃げ場はないことが分かる」と同氏。
もっとも、何もかもが悲惨な状態というわけではない。
SANSのInternet Storm Center(ISC)のCTO(最高技術責任者)のジョアンヌ・ウルリッヒ氏は、特定のサービスを走らせているリモートサーバのポートを探すサービススキャニングは30%減少したとし、これはパーソナルファイアウォールの利用が増えたためだと語った。
同氏はまた、ApacheやMicrosoft IISなどのWebサーバへの攻撃が減り、Webサーバ上にインストールされたアプリケーションへの攻撃が増えたとしている。
トップ20リストの脆弱性はすべて、ベンダー各社によりパッチが提供されている。しかし、ユーザーは思ったほど迅速にパッチを適用していないようだ。
Qualysのゲルハルト・エシェルベックCTOは、サーバ側で脆弱性にパッチが当てられるまでに平均で21日かかると報告している。デスクトップ側では62日かかるが、これは企業ユーザーの場合だという。ホームユーザーはパッチを当てるまでにもっと時間がかかる可能性が高いため、62日というのはちょっと楽観的かもしれないと同氏は指摘した。