FireEyeとKasperskyの製品にゼロデイ脆弱性--セキュリティ専門家が報告

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2015-09-09 10:52

 セキュリティ研究者がKasperskyとFireEyeのシステムにゼロデイ脆弱性を発見したことを報告した。悪用されると顧客の安全性に影響が及ぶというものだ。

 セキュリティ研究者のTavis Ormandy氏は米国時間9月5日、Kasperskyの製品に影響する脆弱性の存在を明らかにした。Ormandy氏は過去にSophosとESETの両ウイルス対策ソフトのセキュリティ脆弱性を発見した実績を持つ。氏によると、この脆弱性は「最悪」という。


 Ormandy氏の開示を受けてから24時間以内に、Kasperskyはこれを修正するパッチをグローバルにリリースした。それに報いるかのように、Ormandy氏は他の多数の脆弱性についての情報をKasperskyに送った。これらの脆弱性も「明らかに悪用可能」という。

 同じ頃、別のセキュリティ専門家であるKristian Erik Hermansen氏もゼロデイ攻撃につながる脆弱性を概念実証(PoC)コードとともに公の場で報告した。こちらはFireEyeのセキュリティ製品が対象である。

 Hermansen氏は以下のように記している。

 FireEye/Mandiantゼロデイ脆弱性の1つだ。18カ月以上前から存在しており、FireEyeのセキュリティ“専門家”はまだ修正していない。

 Mandiantスタッフが、今回のものやその他のバグをコーディングしてしまったことは明らかだ。さらに残念なこととして、FireEyeは外部のセキュリティ専門家が報告できるプロセスを用意していない。

 FireEyeアプライアンスでは、許可されていないルートファイルシステムにリモートからアクセスが可能だ。ウェブサーバをルート権限で動かすことができる。これは“セキュリティベンダー”が提供する素晴らしいセキュリティ機能だ。いったいだれが自分のネットワークにこんなデバイスを置く気になるんだ。

 Hermansen氏は、FireEyeの製品にある、他の3つの脆弱性情報を有料で提供すると述べている。

 FireEyeは声明文を出し、「潜在的なセキュリティ問題を発見してくれたKristian Hermansen氏、Ron Perris氏らセキュリティ研究者らの取り組みに感謝する」としながらも、「責任ある開示を奨励する」として責任ある開示と自社への報告にポリシーを設けていることを強調した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]