ニュース
» 2011年08月16日 07時43分 UPDATE

修正した脆弱性は13件それとも400件? Googleの主張にAdobeが釈明

Flash PlayerのセキュリティアップデートにAdobeが記載したCVE番号(脆弱性識別番号)は13件。これに対してGoogleの研究者が「Adobeは約400件の脆弱性を修正した」と主張した。

[鈴木聖子,ITmedia]

 米Adobe Systemsは8月9日に公開したFlash Playerのセキュリティアップデートで何件の脆弱性に対処したのか――。Adobeが公表した脆弱性の件数にGoogleの研究者が異議を唱え、Adobeが釈明に追われた。

 Adobeは9日にセキュリティ情報を公開した時点で、同アップデートで修正した脆弱性として13件のCVE番号(脆弱性識別番号)を記載していた。

 これに対してGoogleのセキュリティ研究者テービス・オーマンディ氏が10日、Twitterで「Adobeは現在進行中のセキュリティ監査の一環として、私が伝えた約400件の脆弱性を修正した。タイポではない」「数が多すぎて体面が悪いので、彼らは結果を覆い隠そうとしている」とかみついた。

 この問題がメディアで取り上げられたことなどを受け、Adobeは12日のブログで「GoogleのCVEに対するアプローチがAdobeと異なっていたことから混乱を招いた」と釈明した。

 それによると、Adobeでは外部から報告された脆弱性や修正前に悪用コードが出回った脆弱性などについてCVE番号を個別に割り当てている。一方、Adobe社内で発見しAdobe Secure Product Lifecycle(SPLC)の一環として解決したバグや、パートナーなどとの連携により発見したバグについてはCVE番号を割り当てていないという。

 「CVE番号の割り当ては、1つの製品内、あるいは組織内では比較的一貫しているが、1つのベンダーを別のベンダーと比べると大きく異なることもある。脆弱性評価のためにCVEの数だけで別々の製品を比較するのは、一般的には良くないやり方だ」と同社は主張する。

 9日のセキュリティ情報については、協力者としてオーマンディ氏とGoogle Chromeチームの名を明記したが、バグ修正はAdobeとGoogle Chromeチームとの共同作業によるSPLCの一環と判断してCVEは割り当てなかったと説明した。

 ただし実際には、Googleとの共同作業で当初約400件のクラッシュシグネチャが見つかり、最終的なアップデートでこれらバグに対処するために約80件のコード変更を盛り込んだことも明らかにした。セキュリティ情報は12日付で改訂し、この一連のバグについて記載した「CVE-2011-2424」を新たに付け加えた。

 Adobeの釈明を受けてGoogleのオーマンディ氏をはじめとするセキュリティチームも同日、ブログでこの問題を取り上げ、「これほど多くの問題をこれほどの短期間で修正するのは、Adobeがセキュリティに対し真剣に取り組んでいることを示すもの」と評価に転じた。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -