13/03/13 11:33:46.70 Mk0khtVT0 BE:8446234-2BP(6001)
sssp://img.2ch.net/ico/folder1_03.gif
Linux、ゼロデイ脆弱性の修正に要した期間はWindowsの2倍超--2012年対応分
セキュリティ企業のTrustwaveによると、2012年に修正された「Linux」カーネルの脆弱性が未対応のままになっていた
期間は平均2年以上だという。これは、現行の「Windows」OS各種で未対応脆弱性の修正にかかった期間の2倍以上に
のぼる。
2012年に修正されたLinuxカーネルのゼロデイ脆弱性(パッチが未公開のソフトウェア脆弱性)は、修正されるまでに
平均857日かかったことが、Trustwaveの調査で明らかになった。これに対し、2012年に修正された現行のWindows OS
各種におけるゼロデイ脆弱性は375日で修正された。
TrustwaveのSpiderLabsチームでヨーロッパ、中東、アフリカ担当ディレクターを務めるJohn Yeo氏によると、パッチ
公開までにかかる時間の差は、オープンソースプロジェクトのコミュニティーとプロプライエタリソフトウェアのベンダー
という構造の違いによって説明できる部分があるという。
「一部には、Linux開発の分散性が関連している」とYeo氏は述べている。
「特定製品に完全かつ単独の責任を負うベンダーの場合、製品は高度に標準化されているため、パッチを公開するのは
いくらか簡単だ」
「一方、Linuxカーネルの場合は多様なコンポーネントやモジュールを含んでいたり、パッチの作成にもオープンソースの
観点から多くの人が関与したりする場合がある」(Yeo氏)
ただし、このデータを根拠として、Linuxカーネルを採用したOSが必ずしもWindows OSより脆弱だと解釈すべきではないと
Yeo氏は述べる。すべてのLinuxディストリビューションがすべてのエクスプロイトの影響を受けるとは限らないからだ。
(後略)
URLリンク(japan.cnet.com)