パスワードを忘れた? アカウント作成
9432657 story
セキュリティ

米Microsoft、ストアなどで配信するアプリの脆弱性に180日以内の修正を義務付け 31

ストーリー by hylom
さすがに180日の猶予があれば…… 部門より

あるAnonymous Cowardのタレコミより。

Microsoftが、同社のWindows向けソフトウェア配信ストア「Windows Store」などで配信するアプリについて、脆弱性が発覚した場合は180日以内に修正することを義務付けることを発表した(ITmedia)。

対象となるのはWindows Storeのほか、「Windows Phone Store」、「Office Store」、「Azure Marketplace」といったMicrosoftの提供する配信ストア経由で提供されるアプリ。修正が適切に行われない場合、Microsoft側はアプリを削除するという。このルールはサードパーティだけでなく、Microsoft製のアプリにも適用されるそうだ。

さらに、深刻な脆弱性が発見され、その悪用が確認されている場合など、Microsoftはケースによっては180日より前でもアプリを削除する権利も持つという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年07月11日 17時20分 (#2419675)

    CVE-2012-2993をはじめとするWindows Phone 7のOS自体に存在するバグは180日どころか1年たっても修正されないのであった。

    • by matarillo (12702) on 2013年07月12日 5時17分 (#2419963) 日記

      ITMediaの記事には《アプリに「緊急」または「重要」レベルのセキュリティ問題が見つかった場合》とありますね。

      《CVE-2012-2993をはじめとするWindows Phone 7のOS自体に存在するバグ》は「緊急」でも「重要」でもなかったんじゃないですかね。少なくともCVE-2012-2993はそうみたいですね。他は知らんけど。

      あとこの手のバグは次バージョン以降で対策済みと言われることもたびたびあるので、WP7.8とかWP8.0とかでどうなったのかは知りたいですね。

      親コメント
      • by Anonymous Coward

        認証情報が盗まれうるので、自明に「重要」では。

        >WP7.8
        部分的にしか直っていません。また、この部分的な修正の配信に180日以上かかっています。

        >WP8
        7のデバイスにはインストールできません。

        • by Anonymous Coward

          信者にとってMSが修正しない脆弱性は定義により重大じゃないんだよ。

    • by Anonymous Coward

      MS<バグじゃなくて仕様だから(震え声

    • by Anonymous Coward

      Windows 8.1が引っ込む可能性も…

      もうちょっと曖昧な表現にしておけばいいのに、自分を縛るのが好きねえ

      • by Anonymous Coward

        Windows 8→8.1は無料なんだし、8.1が出れば8のパッケージ販売や8のプリインストール販売は8.1に切り替わるだろうから
        仮に配信開始初日に脆弱性が発見されて、それが一度も修正されないまま放置されたと仮定しても、
        半年もの間配信できりゃ十分じゃないの? という気もしますけどね。

    • by Anonymous Coward

      MS<ストアで配信してないから(震え声

    • by Anonymous Coward

      OSは基本ソフトウェアであって、
      アプリ(アプリケーションソフトウェア)ではないから、
      対象には含まれないのさ。

    • by Anonymous Coward

      脆弱性が「発覚」した場合だから、はじめから脆弱性ありますならOK?

      • by Anonymous Coward

        そう。一般にバレなきゃいいんだよ。諜報機関や官憲やあろいうことか犯罪者が知ってても、明るみに出て問題にならなきゃ大丈夫。

      • by Anonymous Coward

        いや、違うな。

        (脆弱性だと)認めなきゃ脆弱性じゃないんですよ♪

  • まずは自分たちで手本を (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2013年07月11日 17時41分 (#2419692)

    何年も桅弱性放置してるソフトを削除してくれないかな
    何も残らないからできないの?

    • by Anonymous Coward

      桅弱性ってなんて読むんです?

      何年も桅弱性放置しているWindows Storeのアプリって何かありましたっけ?

    • by Anonymous Coward

      桅弱性で検索しても、ほとんどが脆弱性でHITする容赦無いGoogle先生。
      そこまでするならもしかしてにすればいいのに。

    • by Anonymous Coward

      手書き入力の誤検出かな。
      恥ずかしくて傷つくから脆弱性のあるアプリだね。

      • by Anonymous Coward

        「きじゃくせい」でなんとか変換しようとして出てきたのがそれなんじゃないですかね。
        とかいって「きじゃくせい」で変換したら「脆弱性(『ぜいじゃくせい』の謝り)」って
        ATOKに指摘された。ルートの人もATOKを使ってれば赤っ恥かかずに済んだのかもね。
        とステマしといて去ろう。

  • このOSは (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2013年07月11日 17時42分 (#2419693)

    180日以内に自動的に消滅する

  • by Anonymous Coward on 2013年07月11日 19時27分 (#2419762)

    「聞いてないよ〜」っていう叫び声が聞こえてきそうな気がしたんですが。

    胴元は適用除外だったりするんでしょうかね。

  • by Anonymous Coward on 2013年07月12日 8時14分 (#2419999)

    WindowsStoreのこの処置にはアンチなコメントが多いけれど、GooglePlayのAndroid向けアプリの酷さは何とかしてくれって感じ。

    ある有料アプリを購入したが、バグが酷くて動作せず、返品処理をした。
    その機能はとても欲しいものだったので、バグが修正されるのを期待して待った。
    アップデートが実施されたので、もう一度購入したら、全然直っていないどころか酷くなっていた。
    返品処理をしようとしたら、2回目以降は返品できず、強制的に課金された。
    その後、待てど暮らせど、そのアプリはアップデートされることも修正されることも無く、いまだに有料で販売し続けている。

    脆弱性の問題ではなくバグで動かないものだけど、バグで動かないということはその点が脆弱性になっている可能性は高い。

    そういうアプリを180日で葬り去ってくれるっていうなら、いい話だと思う。
    GooglePlayは、一時はAppStoreにアプリ数で対抗するために、こういうゴミを多数放置している傾向があったので(いまもそうかも)、腐りつつある。

    • by Anonymous Coward

      ソフトウェアの品質に関してなら、胴元の独裁的判断よりは自由な競争に基づく選別のほうが望ましいと思います。
      バグが多いが有用なソフトもたくさんありますし。
      今のトピックはセキュリティの話ですので別ですが。Microsoftの判断はよいものだと思います。

      >バグで動かないということはその点が脆弱性になっている可能性は高い。

      可能性っていわれましても。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...