トレンドマイクロのウイルスバスター2009にキー入力暗号化機能に関する脆弱性が見つかったとのこと。
キー入力暗号化機能を利用していても、ユーザーのウェブブラウザ上でキー入力されたパスワードの一部が暗号化されないというもの。
キーロガーなどの悪意ある手段によって入力情報を窃取された場合、パスワードが部分的に平文のまま漏えいする可能性がある。JVNでは、トレンドマイクロが提供する情報をもとに「ウイルスバスター2010」や「ウイルスバスター2011」にバージョンアップするよう呼びかけている。
トレンドマイクロは、ウイルスバスター2010以降ではキー入力暗号化機能に使用されているモジュールが異なるため、同様の脆弱性は存在しないと説明。
ウイルスバスター2009はすでにサポート終了となっているため、今回の脆弱性を修正する予定はないとしている。
(「ウイルスバスター2009」に脆弱性--パスワードが平文のまま漏えいする可能性 - CNET Japanより)
サポート切れソフトなので、トレンドマイクロの措置は妥当やろなぁ。
トレンドマイクロのページによると、最新のウイルスバスターへのバージョンアップは無料で行えるとのことなので、該当する人はすぐにでもバージョンアップしたほうがよさそうやね。
これ以外にも
- サポートが切れたままのもの
- 開発が止まってるもの
- フリーウェア、シェアウェアで、ホームページなどが閉鎖されてるもの
などには危険が潜んでいる場合があります。
危険なモノが見つかっても修正されないまま放置されてしまうので、特別な理由がないのであればバージョンアップや代替できるものを探したほうがいいですよ。
情報が漏れるのは自己責任やけど、他の人に迷惑がかかってからやったら遅いからなぁ。。。
ちなみに脆弱性は「ぜいじゃくせい」と読みます。
「きじゃくせい」でも「きょじゃくせい」でもないよ~。
私はシステム屋さんの端くれですが、同業者でも間違う人が多いんよねぇ・・・。
「ウイルスバスター2009」に脆弱性--パスワードが平文のまま漏えいする可能性 - CNET Japan
4 件のコメント:
でも、この脆弱性が報告されたのは2008年6月30日なんですよねー
>匿名さん
コメントありがとうございます。
そうやったんですかぁ。
私はCNETに掲載されたのを見て知りました。
ってことはずーっと放置されてたってことになるんやなぁ。
それはそれで怖い話やと思うなぁ・・・。
本当の意図がどうだったかは分かりませんが報告タイミングを見ると結果としては放置になりますね。ちょっと印象悪いなと思いました。
確かにねぇ。
報告してても周知していないのであれば、放置と同じやからなぁ。
ましてや、個人用のPCとかになるとバージョンアップとかが億劫になりがちやから、キチンとアナウンスしてほしいなぁと思いますねぇ。
コメントを投稿