編集部からのお知らせ
PDF Report at ZDNet:「ドローン活用」
「ニューノーマル」に関する新着記事一覧

Nils2Own: 「セキュリティホールが修正されてほしい」 - (page 2)

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-03-26 10:28

--Windows 7のIE 8はどうですか。

 私はこの脆弱性について準備してきました。これもいいバグなのですが、ASLRとDEPがあるため、攻撃コードを書くのは本当に、本当に困難でした。私はそれらの対抗策を回避するためにいくつかのテクニックを使わなくてはならず、信頼できる攻撃コードにするために多くの準備をしました。非常に大変でした。

--昨年のBlack Hatで発表されたDowd氏とSotirov氏のテクニックを使ったのですか。

 私は彼らの仕事を高く評価しています(笑顔)。

--IE 8より前のバージョンのIEには影響はあるのですか。

 わかりません。私はIE 7ではこのバグを引き起こせませんでした。ブラウザが新しいバージョンになる時には、ベンダーは新しい機能と技術を導入し、既存の技術にも変更を加えます。当然ですが、新しいコードには新しいリスクがついて回ります。

 私はあの後でMicrosoftと話しました。彼らはコンテストの後で私のラップトップから攻撃コードのコピーを受け取っており、早く詳細を調べてパッチに取りかかりたいと思っているようでした。

 (注: Microsoftはその後、脆弱性を再現して確認し、セキュリティ対応プロセスをスタートさせている。)

--3つの主要なブラウザすべてを攻撃するつもりで来たのですか。

 そうです。IE 8とSafariについては準備をしてきました。これらはあらかじめテストをしてありました。Firefoxのバグについては準備が終わっていませんでした。私は日曜にこちらに着き、火曜まで作業をして攻撃コードを準備しました。

 私はすべての主要なブラウザを攻撃するつもりでした。ブラウザは安全ではなく、それが私の関心領域です。可能であれば、WindowsでもMac OS Xでもいいので、クライアントサイドの脆弱性に関わる仕事を見つけたいと思っています。

--最後に何か一言ありますか。

 エンドユーザーは、どんなOSでどんなブラウザを使っていても攻撃を受ける可能性があることを知っておいた方がいいでしょう。一般的に言えば、Windows上での攻撃は難しくなっていますが、不可能ではありません。すべてのブラウザエンジンは、セキュリティに関しては改善されています。最近では脆弱性を見つけるのはかなり難しくなっていますが、その代わりアドオンやサードパーティの依存関係など他の問題が多くあります。

 ユーザーは、何を使っていても、インターネットを使っていれば悪いことが起こる可能性があることを知る必要があります。また、ソフトウェアベンダーはセキュリティホールの悪用を難しくすることに注力すべきです。バグは絶対になくなりませんが、それを攻撃者が利用しにくいようにしなくてはなりません。

* タイトルのNils2Ownという表現は、Ivan Kristic氏が考えたものだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]