- 2015年4月18日
- その他脆弱性情報
脆弱性、黙っておけば、バラされる。
開発者に脆弱性を報告したら、無視されたので、情報公開しました、という事件(?)が相次いでいる。
「Minecraft」に放置された脆弱性? 発見者が攻撃実証コードを公開
人気ものづくりゲーム「Minecraft」に、細工を施したパケットを送り付けてサーバをクラッシュさせることができてしまう脆弱性が見つかったとして、発見者が自身のブログで4月16日に詳しい内容を公開した。開発元のMojangに2年近く前に報告したにもかかわらず、一向に問題が修正されなかったと訴えている。
(ITmedia)
報告によれば、開発者に何度も警告を送ったにもかかわらず、何年も無視され続けられたとのこと。Githubでエクスプロイトコードが公開され、ようやく開発者も重い腰をあげて対応したとのこと。
また、Microsoftも大きな脆弱性を放置していたようです。
Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURLをInternet Explorer(IE)に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名やパスワードなどのログイン情報を提供してしまう脆弱性に起因する。この脆弱性は1997年に発見されていたという。
(中略)
Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促している。
(ITmedia)
こちらも20年近く前に発見されていながら、放置されていたとのこと。
こういった脆弱性を発見した瞬間に公開しないのは、発見者の倫理観だと思いますが、ベンダーがそれに対応しないのは意図的なのか、それとも偶然なのかわかりませんが、あまりユーザーとしては歓迎できません。
バグがないプログラムは存在しないので、発見されること自体は問題無いとおもいますが、発見されたものに関してh速やかに修正するようベンダーにはお願いしたいと思います。
(Photo:FutUndBeidl)