オープンソースセキュリティが批判を引く
先週、ポーランドのセキュリティ会社iSec Security Researchが最新のLinuxカーネルで3つの新しい脆弱性を発表し、攻撃者がマシンの権限を昇格させ、ルート管理者としてプログラムを実行できるようにした。
これらは過去数ヶ月にわたりLinuxで発見された重大なまたは重大な一連のセキュリティ上の脆弱性の最新のものです。 マイクロソフトのボードルームはおそらく、オープンソースがより安全であると考えられているにもかかわらず、これらの致命的な欠陥が引き続き発見されているという皮肉なことから、多少の娯楽、
私の意見では、オープンソースソフトウェアはデフォルトでより安全だと主張するけれども、それはマークを見逃している。 初心者にとっては、ソフトウェアを構成し維持するユーザーまたは管理者と同じくらい安全だと私は信じています。 Linuxの方がより安全であると主張する人もいるかもしれないが、無知なLinuxユーザーは、無知なMicrosoft Windowsユーザーほど安全ではない。
それのもう一つの側面は、開発者はまだ人間であるということです。 オペレーティングシステムを構成する数千から数百万行のコードのうち、何かが見逃される可能性があり、最終的に脆弱性が発見されると言えるのは明らかです。
そこには、オープンソースとプロプライエタリの違いがあります。 マイクロソフトはEEye Digital Securityから、最終的にこの脆弱性を公表してパッチをリリースする8ヶ月前に、ASN.1の実装に関する欠陥について通知されました。 それらは8ヶ月間、悪者がこの欠陥を発見して悪用する可能性がありました。
一方、オープンソースはパッチを当てて更新する方がはるかに高速です。 一度欠陥や脆弱性が発見され、パッチやアップデートができるだけ早くリリースされると、ソースコードにアクセスできる開発者は非常に多いです。 Linuxは失敗しますが、オープンソースコミュニティは問題が発生したときにはすばやく対応するように見え、適切な更新プログラムで対処するまで脆弱性の存在を埋めようとするよりはるかに迅速に対応します。
つまり、Linuxユーザーはこれらの新しい脆弱性を認識し、それぞれのLinuxベンダーから最新のパッチと更新情報を入手しておく必要があります。 これらの欠陥を持つ1つの注意点は、リモートから悪用できないということです。 つまり、これらの脆弱性を使用してシステムを攻撃するには、攻撃者がマシンに物理的にアクセスする必要があります。
多くのセキュリティ専門家は、攻撃者がコンピュータに物理的にアクセスすると、グローブはオフになり、ほぼすべてのセキュリティが最終的に回避されることに同意しています。 リモートから悪用される脆弱性 - ローカルネットワークの遠方または遠方のシステムから攻撃される可能性が最も高い、最も危険な脆弱性です。
詳細については、この記事の右側にあるiSec Security Researchの詳細な脆弱性の説明を参照してください。