14/05/03 01:30
IEのゼロデイ脆弱性

先日IE全てのバージョンでセキュリティの脆弱性が発見され、今日セキュリティ更新プログラムが公開されました。

更新プログラム公開前には、以下のような回避策も発表されていました。


[回避策まとめ] セキュリティ アドバイザリ 2963983  Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

IE固有のVML(Vector Markup Language)が問題のようです。VMLは廃止の方針が決まっているもので、このレガシーな機能が問題となったことになります。(これからはSVG)
回避策では、このVMLを無効にする方法、拡張保護モードを有効にする方法が書かれています。

前回、OpenSSLの脆弱性の話題を投稿しましたが、オーブンソフトウェアで新しい機能が問題となったこととは対象的に、プロプラエタリィソフトウェアの古い機能ということになります。
いったい何を信用したらいいのか、といいたくなるところですが、ソフトウェアからバグを完全になくすことはできない、という認識がますます広がっていくのではないでしょうか。
昔の話で恐縮ですが、MS-DOSの時代、不具合といえばアプリケーションレベルで起きるものという認識でした。そのときはそのアプリの開発会社が責任を厳しく問われたものです。しかしGUIのOSになると、OSレベルで起きることが多くなました。このあたりから責任の問われ方が少し変わってきた気がします。Windowsでは、修正プログラムをバグフィックスとかパッチと言わず、サービスバックと言うことのからもわかるように、ミスの修正ではなく追加サービスという認識になりました。ネットワークの時代になっからは、悪意のある使われ方によって生まれるセキュリティホールというものに、対応するサポートという認識もされるようになりました。
システムが複雑になるにつれ、もはや完璧なものを一度に作ることは不可能になり、運用しながら改善するスタイルが定着したと言えます。
4/26に脆弱性が発覚、4/30に回避策、5/2にセキュリティ更新プログラムということで、対応に意外と時間がかかっていることがわかります。
(ちにみにこの間に攻撃することをゼロディ攻撃といいます)
WindowsUpdateをいつもしているから安心とは、決して言えません。
会社などでは、セキュアなPCの運用をルール化しているところが多いですが、ルールを守っていれば安心とはいえなくなってきています。各個人のセキュリティ意識だけでなく、セキュリティ知識なるものも必要になってくると思われます。

コンピュータにおけるシステムのしくみに限らず、社会のしくみも複雑になってきています。
ちょうど今日は、憲法記念日です。マスコミでは、さかんに集団的自衛権について報道がされていますが、アンケートで賛成、反対が何%というあまり本質的でないことに時間をさいている気がします。正しい判断をするためには、それに必要な知識を深めることが重要だと思います。

話が飛躍してしまいましたが、これら何がどのくらい危険なのかわかりづらい、という点でも似ていると思いました。
やはり勉強は必要です。