UNLHA32.DLL の開発停止、作者がLHA書庫の使用中止を呼びかける - /.J
UNLHA32.DLLの作者も含め、殆どの人がIPAの脆弱性関連情報の届出を勘違いしているし、葉っぱさめが呟くのもむべなるかな。
いやね、UNLHA32.DLLにそのような脆弱性があって届け出て採用されないならまだ憤るのも分かるんですが、単に具体名も実例(検証データ)も挙げずに可能性だけ論って採用されないと喚いても、ハンドリングする窓口側(この場合だとIPA→JPCERT/CC)が何処に投げて良いのか、どのように説明したら良いか分からないので余計困っているはず。
例えば某アンチウイルスソフトで、検体(テスト用ウイルス(eicar.com)を問題のあるLZH書庫形式でラッピング化したモノ)をスキャンしたらパスしてしまった、というなら、多分受理されるでしょう。何故なら、対象(プロダクトと開発元)と現象と因果(脆弱性の原因)がハッキリしており、ハンドリング可能だから(※1)。
---
(※1)勿論、最終的に報告された件が脆弱性なのか仕様なのか、また脆弱性であっても対応可能か否かを判断するのは開発元であって、窓口側ではないのは言うまでもありませんが。
UNLHA32.DLLの作者も含め、殆どの人がIPAの脆弱性関連情報の届出を勘違いしているし、葉っぱさめが呟くのもむべなるかな。
いやね、UNLHA32.DLLにそのような脆弱性があって届け出て採用されないならまだ憤るのも分かるんですが、単に具体名も実例(検証データ)も挙げずに可能性だけ論って採用されないと喚いても、ハンドリングする窓口側(この場合だとIPA→JPCERT/CC)が何処に投げて良いのか、どのように説明したら良いか分からないので余計困っているはず。
例えば某アンチウイルスソフトで、検体(テスト用ウイルス(eicar.com)を問題のあるLZH書庫形式でラッピング化したモノ)をスキャンしたらパスしてしまった、というなら、多分受理されるでしょう。何故なら、対象(プロダクトと開発元)と現象と因果(脆弱性の原因)がハッキリしており、ハンドリング可能だから(※1)。
---
(※1)勿論、最終的に報告された件が脆弱性なのか仕様なのか、また脆弱性であっても対応可能か否かを判断するのは開発元であって、窓口側ではないのは言うまでもありませんが。