「Windows 8.1」の脆弱性を修正前に公表、グーグルに批判の声

CNET Japan Staff

2015-01-15 12:03

 Googleのゼロディ攻撃専門のセキュリティチームGoogle Zero Projectが2014年12月から翌1月にかけて、自分たちが発見した「Windows 8.1」の脆弱性情報をパッチ発行前に公開した。この脆弱性はMicrosoftが先に公開した月例パッチリリースで修正されたが、セキュリティ専門家のGraham Cluley氏はGoogleの一連の行為に疑問を投げかけている。

 Googleは1月11日、Windows 8.1(Cluley氏によると64ビット版の「Windows 7 Professional SP1」も影響を受けるという)にある特権昇格につながる脆弱性の詳細情報を公開した。同チームは2014年12月末にも「Windows 8.1」の未修正の脆弱性情報を公開しており、Microsoftがパッチ公開前に修正されていない脆弱性情報を公開するのはこれで2件目となった。なお、2件ともMicrosoftが1月13日に公開した月例セキュリティパッチリリースで修正済みだ。

 GoogleはMicrosoftにバグを報告するとともに、修正期間として90日間を与えた。これに対しMicrosoftは、セキュリティパッチを公開するまで脆弱性情報の公開を控えるように要求したが、Googleは90日間は全ベンダーとすべてのバグに共通の期間であって延長はできないと知らせたようだ。

 1月14日、Cluley氏は自身のブログで、「パッチが公開される前にセキュリティ欠陥を公開することは、インターネットのほんの一部であるコンピュータオタク(ナード)を助けるに過ぎない。大多数を占めるコンピュータユーザーにとっては何の助けにもならない--それどころか、危険な状態にするだけだ」とGoogleの行為を批判する。GoogleがMicrosoftに90日間の猶予を与えたことを認めながら、「Microsoftがパッチリリースに時間がかかりすぎていると思うのならば、メディアにその懸念を伝えて、該当する欠陥をデモすればよい--誰もが悪用できてしまうコードをリリースするのではなく」と続けている。

 最後にCluley氏は、Googleの「Android 4.3」で発見されたWebView脆弱性について、「Microsoftの研究者がGoogleに90日間の修正期間を与えた後、PoC(実証)コードをリリースしたら、Googleはどう感じるだろうか?」と結んでいる。

 今回のGoogleの行為に対しては、Microsoftも1月11日に自社ブログで「脆弱性情報の公開は協力し合う必要がある」との意見を述べている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]