ちゃっぴの監禁部屋

ガチガチに締めすぎて動きがとれなくなる。。。
ホーム 連絡をする 同期する ( RSS 2.0 ) Login
投稿数  405  : 記事  5  : コメント  12114  : トラックバック  134

ニュース

記事カテゴリ

書庫

日記カテゴリ

Communities

Personal Information

Microsoft の Security Information が新しくなった

マイクロソフト セキュリティ情報の事前通知 - 2007 年 6 月

とりあえず事前予告の段階ですけど、「マイクロソフト セキュリティ情報 2」ってのは正直どうかと。

Zero day を出来るだけ避けたいからこういう風にしたんだと思うんですけど、これだったら MS-XXX とかの名前のほうがよっぽどいいです。

だって、事前通知と通知で紐づけるものがなくなるじゃん。

ちなみにホンちゃんのほうはこんな感じになる予定らしいです。

http://www.microsoft.com/japan/technet/security/Bulletin/ms07-016-example-of-new-layout.mspx

<参考> 新! セキュリティ情報の事前通知

投稿日時 : 2007年6月9日 1:56

コメント

# re: Microsoft の Security Information が新しくなった 2007/06/11 9:16 裏口
昔から心配してましたが、セキュリティホールに対応するWindowsUpdateって
やばくないかと思います。
# パッチ部分をdownload後に、逆コンパイルしたら具体的な攻撃可能箇所
# が明確化してしまうのでは? と。
# 実際には別な部分に制約をかけて、セキュリティホールにたどり着けないような
# 対策を講じていると想像しますが、場合によっては攻撃方法がばれるケース
# もあるんじゃないかと・・・。

まあ、Zero dayへの対抗策としては自動updateを有効にしていれば、まず大丈夫
かと思ってます。

# re: Microsoft の Security Information が新しくなった 2007/06/12 3:03 ちゃっぴ
> 昔から心配してましたが、セキュリティホールに対応するWindowsUpdateって
> やばくないかと思います。

でわ、既知の脆弱性放置していいんでしょうか?という無限 loop

ということで、security patch でたら出来るだけ早く適用しとけ!というのがやはり正解になりますね。

たまに思う疑問なんですが、Microsoft 以外のところで脆弱性が見つかるとこの脆弱性は ver.xxx で修正されましたという pattern。

ちゃんと調査していないのでアレなんですが、この修正点 release note にすら書いてないの?っていう疑問。それって果たしていいことでしょうか?

# re: Microsoft の Security Information が新しくなった 2007/06/12 17:41 裏口
>脆弱性が見つかるとこの脆弱性は ver.xxx で修正されましたというpattern。

どちらも一長一短ですねえ。
規模から考えるとWindowsは現在の形しかどうしようもない。
ルータの多くは上記のパターン(Cisco、コンシューマ向けBBルータ)なんで、
定期的にチェックしなきゃならなかったり。
# 普通の環境はルータ(ファイヤウォール)、ウィルス対策ソフトの次にOSが
# 攻撃に遭うので問題ないかと思いますが。

# re: Microsoft の Security Information が新しくなった 2007/06/12 23:48 ちゃっぴ
> ルータの多くは上記のパターン(Cisco、コンシューマ向けBBルータ)なんで、

保守契約内容によっては向こうから通知が来ますよ。
Microsoft も無料の mail だけじゃなく、report くれたりいろいろあります。

>> 脆弱性が見つかるとこの脆弱性は ver.xxx で修正されましたというpattern。
> どちらも一長一短ですねえ。

適用するときに気にならないんですかねぇ?
どこの部分いじってるのか?

# re: Microsoft の Security Information が新しくなった 2007/06/13 10:19 裏口
>適用するときに気にならないんですかねぇ? どこの部分いじってるのか?

ルータの話ですか?
CISCOならパッチに説明がありますので、Windowsとほぼ同様です。

BBルータはメーカによって結構違います。
パッチと言う概念じゃなく、ファームウェアVer*.*.*とかいった感じで
メーカによっては前バージョンからの修正点を列挙してあったりしますが
確かに無いケースもありますね。
# 某メーカに圧力かけてパッチを作らせたこともありますがwww


# re: Microsoft の Security Information が新しくなった 2007/06/19 1:39 ちゃっぴ
> CISCOならパッチに説明がありますので、Windowsとほぼ同様です。

CISCO に patch ってありましたっけ?
IOS の入れ替えはいろいろ対応してますけど。
# 今年の初頭から祭り多いですねぇ。。。
# 今に始まったこと無いですけど。

> # 某メーカに圧力かけてパッチを作らせたこともありますがwww

さすが、やり手でいらっしゃる。www



Post Feedback

タイトル
名前
Url:
コメント