Gumblaroid : 何が悪かったのか?
そろそろ落ち着いた(と思う)zlkon/gumblar/GENO系のネタですが。
こんな質問を受けました
「そもそもAdobeがアップデートを怠けていたのが悪いんでしょう?」
思いっきり間違っています。
別に擁護するわけではありませんが、Adobeはこの件に関して、ゼロデイを封じる修正を、(できうる限り?)素早く行っています。
問題は 自動アップデートでは無い という点にあります。
Flash PlayerやAcrobat Readerのような、デファクト・スタンダードとして広まっているアプリケーション(厳密に言えばコンポネンツなのかも?)に、脆弱性が指摘され、そのアップデートが行われているにもかかわらず、OSは自動ではアップデートしてくれません。この辺は Linux を使っている方には奇異に思えるかもしれませんが、バージョン管理リポジトリのような概念がOSに無いため、アプリベンダーは自力でアップデートをアナウンスする必要があるわけです。
しかしコレって、各アプリベンダーが独自にアップデータのcrontabのようなものを走らせる必要があるって、設計思想的にオカシクないですか? 百歩譲って、アプリは起動時にチェックに行けばいいかもしれませんが、flash や acrobat reader のように本体が無い、あるいは滅多に起動しないものは、Browser側にそういった機能、あるいはプロトコルを内蔵させる必要があるわけでして、どっちの問題なのかはよくわかりません。
一応、
Flash Player には自動アップデートのチェックというのがあることはあるのですが・・・
Flash Playerの自動更新間隔をカスタマイズする ― べつになんでもないこと
でも指摘されているように、デフォルトのチェック・スパンがかなり長め(7日)です。
※訂正:Flash Player、自動アップデートのデフォルトは30日でした。指摘ありがとうございます。
もっとも、これを全ての Flash Users が 2時間おきとかに飛ばすようになると、「それ何て DDoS?」になってしまう可能性があるわけですが・・・
こういう欠点を突く形で、現在 
Phirash問題 が多発しているのは皮肉な結果としか言いようがありません。
ま・・ SilverLightを売り込みたい MS としては、今回の混乱は大歓迎!なんでしょうけど(邪推!)
そろそろ、Windows Subversion(笑) を認証運用していくような第三者機関がほしいところですね。
---------------------
何が言いたかったかといいますと(矛先変更)
セキュリティ・ソフトは、プロセスのチェックを行っているんだから、Flash とか Reader の脆弱バージョンを検知して警告を出すようにしたら?
と、前々から思っていただけです。
それくらいできるんじゃないかなぁ?とか思ってるんですけどね。
-----------------------------
あと、こっそり追加
5 月 26th, 2009 at 5:59 PM
Flash Player の更新チェック間隔はデフォルトで30日です。
セキュリティソフトに脆弱バージョンを警告させるという発想はとてもいいと思います。
ひょっとして、ベンダーも見落としてるのでは?
5 月 28th, 2009 at 8:53 AM
返事遅れました。ごめんなさい。
コメントの承認はもう一人の人がやってるので、たまに気がつかなかったりして・・(汗)
デフォ30日だったのですね、訂正しておきます。
脆弱バージョン警告は、前々から思っていました。
一つのウィルスの亜種を100個も200個もシグネチャ登録するよりも遥かに楽だと思うんですけどね(苦笑)