おしごと日記
マイクロソフトからソースが流出した件
2004.02.21 マイクロソフトからソースが流出した件
http://dole.moe-nifty.com/etc/2004/02/_it_media.html
の続き
MSから報告があったそうな。
hotwired
ウィンドウズのソースコード流出、MSが状況報告
http://www.hotwired.co.jp/news/news/technology/story/20040223303.html
Microsoft PressPass
Statement from Microsoft Regarding Illegal Posting of Windows Source Code
http://www.microsoft.com/presspass/press/2004/Feb04/02-12windowssource.asp
「流出したソースコードをもとにみつかったとされている『インターネット・ エクスプローラ』の脆弱性についても、調査の結果、『IE6.0 サービスパック1』で解決済みの問題であると重ねて強調」……だそうだ。
もうひとつ。 ITmedia で毎度おなじみターミネーターT1000みたいな顔した人のコラム。
IT media
Windowsのコード流出に感じる「ゼロデイ」の危険
http://www.itmedia.co.jp/anchordesk/articles/0402/23/news036.html
「ベンダーやセキュリティ研究者が知るよりも前にクラッカーが脆弱性を悪用するウイルスやワームを作成したら、それはゼロデイ・エクスプロイトとなる」
「私としては、Microsoftが問題のコードに含まれているかもしれない脆弱性への対応を最優先にしていることを願うばかりだ。今の唯一の解決策は、クラッカーの先を越すこ となのだから。」……ホント。
もともと、MS(他のソフトベンダーも同じだが)の脆弱性退治のモデルって、「ソースは悪人には秘密」って事を大前提にしているわけだ。 だから、基本的に脆弱性を発見するのは、善意の研究者やMS自身の場合がほとんどだ。 で、MSが秘密のうちに対処法を作り出すまでは、その脆弱性は悪人に公表されることは無い。
潜在的なまま、最後まで露見せずに終わる脆弱性も多々あるはずだ。 脆弱性が露見しなかったおかげで、やらずにすんだ対策の分の労力や金を、MSはセキュリティ関連以外の分野に注げるわけだ。 これはこれで立派なビジネスモデルだわな。
それなのに、肝心のソースが公開されちゃ、どーしよーも無い。 前提が崩れちゃったんだから、マイクロソフトは急いで対策をやらねばならん。 大変だ。
これは漏洩を許してしまったMSの自業自得だから仕方が無い。 一生懸命対策してもらわねば。 あと、漏洩の再発防止対策も。 がんばってくれ。
ついでにもうひとつ。
よく言われるオープンソースとの比較だが、これはもともとモデルが全く違うのだから、比較しても仕方が無い。
最近のコメント