アカウント名:
パスワード:
わざわざ誤解しやすいようにタイトルつけてるの?
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~こっちの方がやべー
普通だよ攻撃が確認されてない限りは非公開で通知対応期間を区切ってそれでも対応されなければ公開が基本
都合の良い場所だけ読むなよ俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。って書いてあんだろなんでお前は文章を読めないでタイトルしかよまないんだ
ちゃんと日本語理解して。わからないならちゃんと日本語勉強して。とても恥ずかしいから。
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ何が疑問なんだ?
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもねメモリに収まらないとか、必要なハードウェア支援がなかったりして
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えるとそれでも、推定としか書いてない。また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
そんなん当たり前ですがな。悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
発見者の落ち度で悪用されたのにLINEに責任を押し付けるってすごいな
>詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。>本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
LINE側の発表でも推定でまだ確定してない。LINE側の発表だからLINE側にいいいように解釈するのが普通、それでも確定できてない。この段階で、LINE不具合なのに、発見者に責任を押し付けるのって、すごいな。まあ、LINEの不具合の責任はなくなるわけではない。
脆弱性を漏らしたのは発見者の落ち度だということにはまったく変わりはないな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
悪意のあるタイトルだな (スコア:0)
わざわざ誤解しやすいようにタイトルつけてるの?
Re: (スコア:0)
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
こっちの方がやべー
Re:悪意のあるタイトルだな (スコア:1)
普通だよ
攻撃が確認されてない限りは非公開で通知
対応期間を区切ってそれでも対応されなければ公開が基本
Re: (スコア:0)
都合の良い場所だけ読むなよ
俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。
> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
って書いてあんだろ
なんでお前は文章を読めないでタイトルしかよまないんだ
Re: (スコア:0, フレームのもと)
ちゃんと日本語理解して。
わからないならちゃんと日本語勉強して。
とても恥ずかしいから。
Re: (スコア:0)
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。
脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
Re: (スコア:0)
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ
何が疑問なんだ?
Re: (スコア:0)
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
Re: (スコア:0)
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもね
メモリに収まらないとか、必要なハードウェア支援がなかったりして
Re: (スコア:0)
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えると
それでも、推定としか書いてない。
また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
Re: (スコア:0)
そんなん当たり前ですがな。
悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、
脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
Re: (スコア:0)
発見者の落ち度で悪用されたのにLINEに責任を押し付けるってすごいな
Re: (スコア:0)
>詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。
>本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
LINE側の発表でも推定でまだ確定してない。LINE側の発表だからLINE側にいいいように解釈するのが普通、それでも確定できてない。
この段階で、LINE不具合なのに、発見者に責任を押し付けるのって、すごいな。
まあ、LINEの不具合の責任はなくなるわけではない。
Re: (スコア:0)
脆弱性を漏らしたのは発見者の落ち度だということにはまったく変わりはないな