【 ここから本文 】
- TOP
- > Topics : ユーザー動向
- >
ユーザー動向
ソーシャルブックマークに登録 :
印刷用ページの表示
[世界]
【ETH Zurich調査】
Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告
「問題の大半はベンダー側の対策不足にあり」と研究員が指摘
(2008年07月02日)
Firefoxには、パッチがリリースされたことを通知し、ワンクリックでのアップデートを可能にする自動アップデート機能が搭載されており、大半のユーザーが3日以内にアップデートしているという。
Frei氏は、ブラウザ・ベンダー各社に対し、自動アップデート機能を導入するよう呼びかけている。Operaには新バージョンがリリースされたことを知らせる機能が搭載されているが、アップデートするにはOperaのWebサイトにアクセスし、最初にブラウザをダウンロードしたときと同じインストール・プロセスを実行しなければならない。
Safariの外部アップデート・ツールは、一定の間隔でアップデートがリリースされたかどうかチェックすることしかできず、Microsoftのセキュリティ・アップデートは、毎月第2火曜日にしかリリースされない。このため、この間に脆弱性が発見されても、次のパッチがリリースされるまで無防備のままだ。
Frei氏によると、ブラウザのアップデートがきちんと行われない原因の大半は、その必要性を視覚的に伝えるといった対策を怠っているベンダー側にあるという。そのうえで同氏は、食品業界で導入されている「消費期限」の考え方をブラウザにも取り入れるよう提言している。例えばアドレス・バーの横に「前回のアップデートから145日が経過し、3種類のパッチが導入されていません」といったメッセージが表示されるようにするというのだ。Googleなどの検索エンジンでも、検索結果の上に同様の警告が表示されるようになれば一層効果的だ。また、企業向けソフトウェアに搭載されているようなバージョン・チェック機能をコンシューマー向け製品に搭載するという方法もある。
Frei氏は、Adobeの「Flash」やAppleの「QuickTime」など、ブラウザに各種機能を追加するプラグインの問題点も指摘している。ユーザーは、平均10種類のプラグインを使用しており、ベンダーが異なる場合には、パッチの提供体制やスケジュールもバラバラになる。プラグインに1カ所でも脆弱性があると、PCが危険にさらされる可能性が高まるため、Frei氏は、米国のコンピュータ緊急対応センター(CERT/CC)のような組織が各種プラグインのバージョンをチェックするサービスを提供するよう提案している。
なお、この研究結果は、8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Defcon 16」でも紹介される予定だ。
- 関連キーワード
- チューリッヒ工科大学(スイス)|Secunia(デンマーク)|米国コンピュータ緊急対応センター(CERT/CC)|「Defcon 16」の公式サイト│セキュリティ・マネジメント│Webブラウザ│システム脆弱性│ウイルス/スパイウェア対策
[世界]IE6にゼロデイ攻撃の危険性――実証コード公開でも修正パッチは配布されず
ブラウザ上でのあらゆる作業を追跡/捕捉されるおそれも
ささいなミスも命取りに――10の「やってはいけないこと」
[米国]Safariに新たな脆弱性――反マルウェア団体がアップルに改善を要求
「セキュリティ問題ではない」としてアップルは対応を先送り
[米国]【インタビュー】PCの誤設定で人生を棒に振った不運な男の話
悲惨としか言いようのない出来事も一歩まちがえれば「明日は我が身」
