2001年発見の脆弱性修正に7年間、Microsoftが理由説明

米Microsoftが11月11日に公開した月例セキュリティ更新プログラム「MS08-068」は、2001年に報告されながらこれまで対処できずにいた脆弱性を解決したものだった。同社が11月11日のセキュリティ対策センター（MSRC）ブログで明らかにした。 問題となったのは、2001年に報告された「SMBRelay攻撃」の脆弱性。これはレガシープロトコルであるNTLMの基本動作に影響するものだった。もし脆弱性修正のための変更を加えれば、例えばOutlook 2000クライアントがExchange 2000と通信できなくなるなど、ネットワークベースの多数のアプリケーションに不具合を生じさせることが避けられないと、当時Microsoftでは判断したという。 通常、これほどの規模の問題に対処しようとすれば、Windowsの新バージョンレベルの変更が必要になるが、Microsoftは大きな影響を与え

[cubed-l]

2001年というともうSDLは動き始めてたのかな？

[kokorokara]

windows

[mi1kman]

脆弱性を放置するベンダもいるというのに7年がかりで修正したこの姿勢はすごい(時間はかかりすぎだけど)

[ka-wara]

2008年11月のアップデートに関して

[nezuku]

その脆弱性が利用された可能性があったのかは気になる | サポートの長いプロダクトを持つというのは難しい？

[ag-commerce]

11月の月例パッチ「MS08-068」で対処した脆弱性は、実は2001年に報告されていた。

[mojisan]

「脆弱性修正に7年間」ご苦労さん、というべきか、７年間も放置を責めるべきなのか(ーー;)。