やっと出始めたなぁ

この記事では、アップル製品に対するセキュリティアップデートについて概要を説明します。注記:ユーザを保護するために、アップルはセキュリティの問題に関して、完全に調査を完了して必要なパッチやリリースが利用可能になるまでは、問題についての公開、説明、確認を行いません。

Apple Security Updates: 2003 年 8 月およびそれ以前

This document outlines security updates for Apple products. Note: For the protection of our customers, Apple does not disclose, discuss or confirm security issues until a full investigation has occurred and any necessary patches or releases are available.

Apple Security Updates

APPLE-SA-2003-10-28 Mac OS X 10.3 Pantherは上記のガイドラインに沿っていない訳だが、このガイドライン自体が存在していなかったんだ。今後は、このガイドラインに沿って動いていくという事なのだろう。

しかし、なぜ軽はずみにAPPLE-SA-2003-10-28 Mac OS X 10.3 Pantherをリリースしたのだろうか。OpenSSHやzlib、nidump以外の脆弱性は公知のものとは言いがたい状態だったんじゃないか?システム環境設定のナニ*1やDockのナニ*2は、手法はわかったが公開したところで実行のしようのないインシデントだし。パッチが用意できるまで口をつぐんでいればこんな騒ぎにはならなかっただろう。

個人的には、今回の騒ぎも無駄じゃなかったと思いたいな。結果的にではあるが、Appleからのセキュリティアドバイザリはパッチを前提とするという言質がようやく引き出せたのだから。

あともうひとつ重要なリリースが残っているぞ。サポート期間の明示だ。毎年のアップグレードがあるのなら「前のバージョンに関してのみ無料アップデートパッチをリリース」でいいんじゃないかね。

*1:システム環境設定を管理者が行なった十数秒以内に同じ端末でsudoを含んだアプリを起動することができるなら別だが。

*2:Dockにルートキットのインストーラが置かれているとか(笑?ま、重量級アプリを起動するとかの嫌がらせには十分だが。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。