［世界］【ETH Zurich調査】
Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告

「問題の大半はベンダー側の対策不足にあり」と研究員が指摘

（2008年07月02日）

　Firefoxには、パッチがリリースされたことを通知し、ワンクリックでのアップデートを可能にする自動アップデート機能が搭載されており、大半のユーザーが3日以内にアップデートしているという。

　Frei氏は、ブラウザ・ベンダー各社に対し、自動アップデート機能を導入するよう呼びかけている。Operaには新バージョンがリリースされたことを知らせる機能が搭載されているが、アップデートするにはOperaのWebサイトにアクセスし、最初にブラウザをダウンロードしたときと同じインストール・プロセスを実行しなければならない。

　Safariの外部アップデート・ツールは、一定の間隔でアップデートがリリースされたかどうかチェックすることしかできず、Microsoftのセキュリティ・アップデートは、毎月第2火曜日にしかリリースされない。このため、この間に脆弱性が発見されても、次のパッチがリリースされるまで無防備のままだ。

　Frei氏によると、ブラウザのアップデートがきちんと行われない原因の大半は、その必要性を視覚的に伝えるといった対策を怠っているベンダー側にあるという。そのうえで同氏は、食品業界で導入されている「消費期限」の考え方をブラウザにも取り入れるよう提言している。例えばアドレス・バーの横に「前回のアップデートから145日が経過し、3種類のパッチが導入されていません」といったメッセージが表示されるようにするというのだ。Googleなどの検索エンジンでも、検索結果の上に同様の警告が表示されるようになれば一層効果的だ。また、企業向けソフトウェアに搭載されているようなバージョン・チェック機能をコンシューマー向け製品に搭載するという方法もある。

　Frei氏は、Adobeの「Flash」やAppleの「QuickTime」など、ブラウザに各種機能を追加するプラグインの問題点も指摘している。ユーザーは、平均10種類のプラグインを使用しており、ベンダーが異なる場合には、パッチの提供体制やスケジュールもバラバラになる。プラグインに1カ所でも脆弱性があると、PCが危険にさらされる可能性が高まるため、Frei氏は、米国のコンピュータ緊急対応センター（CERT/CC）のような組織が各種プラグインのバージョンをチェックするサービスを提供するよう提案している。

　なお、この研究結果は、8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Defcon 16」でも紹介される予定だ。

(Computerworld.jp)

前のページへ < ｜1｜2｜