Kristensen氏によると、1つの製品中に60にのぼる脆弱性が見つかったことに「驚いた」が、パッチの適用された製品、しかもセキュリティベンダーによってリリースされたものに同じ脆弱性がいくつも残っていたことにはもっと驚いたという。
Kristensen氏は「セキュリティベンダーによってパッチが適用された製品に脆弱性が存在しているということは奇妙なことだ」と述べるとともに、「バックアップ用の製品はシステムを構成するすべてのワークステーションに配備されるということを考えると、こういった製品に脆弱性が存在することでシステムがより脆弱になるため、これは望ましい状況とは言えない」と述べている。
CAは、ARCserveのパッチがどれほど有効であったかについてコメントを避けた。
セキュリティベンダーのSymantecも、「Symantec Mail Security」でサードパーティーのAutonomyにより開発されたKeyViewソフトウェア開発キットを使用しているとして、Secuniaの報告書で批判されている。Secuniaのアドバイザリによると、Symantec Mail SecurityにおいてLotus 1-2-3ファイルビューワとして使用されているAutonomy KeyViewには、特別な細工を施されたファイルをチェックした際にバッファオーバーフロー攻撃が引き起こされるという脆弱性が存在しているという。Secuniaによって(5段階評価の中で2番目に高い)「きわめて深刻(highly critical)」と分類されたこの脆弱性を突かれると、遠隔地から任意のコードを実行することが可能になる。
Secuniaによると、この問題は2007年12月12日に報告されていたにもかかわらず、同脆弱性に対するパッチはリリースされていないという。Kristensen氏は、Symantecが直面している問題は、パッチの提供においてサードパーティーに依存しなければならない点だと述べている。
「ベンダーは機能を追加するためにサードパーティーからソフトウェアを購入する。KeyViewの抱える問題は、それがSymantecのコントロールできないサードパーティー製のソフトウェアだということだ。Symantecは他の企業に頼らなければアップデートを入手できないのである」(Kristensen氏)
Kristensen氏は、SymantecとAutonomy、そして同様に影響を受けているIBMの間でコミュニケーションチャネルがきちんと確立されていないように見受けられるとも述べている。
「IBMとSymantec、そしてAutonomyが同じ日にパッチをリリースすることが理想だ」(Kristensen氏)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ