アカウント名:
パスワード:
わざわざ誤解しやすいようにタイトルつけてるの?
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~こっちの方がやべー
普通だよ攻撃が確認されてない限りは非公開で通知対応期間を区切ってそれでも対応されなければ公開が基本
攻撃と悪用が確認されてんじゃん対応期間いつだよ
都合の良い場所だけ読むなよ俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。って書いてあんだろなんでお前は文章を読めないでタイトルしかよまないんだ
ちゃんと日本語理解して。わからないならちゃんと日本語勉強して。とても恥ずかしいから。
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ何が疑問なんだ?
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもねメモリに収まらないとか、必要なハードウェア支援がなかったりして
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えるとそれでも、推定としか書いてない。また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
そんなん当たり前ですがな。悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
悪意のあるタイトルだな (スコア:0)
わざわざ誤解しやすいようにタイトルつけてるの?
Re: (スコア:0)
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
こっちの方がやべー
Re: (スコア:1)
普通だよ
攻撃が確認されてない限りは非公開で通知
対応期間を区切ってそれでも対応されなければ公開が基本
Re: (スコア:-1, フレームのもと)
攻撃と悪用が確認されてんじゃん
対応期間いつだよ
Re:悪意のあるタイトルだな (スコア:0)
都合の良い場所だけ読むなよ
俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。
> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
って書いてあんだろ
なんでお前は文章を読めないでタイトルしかよまないんだ
Re: (スコア:0, フレームのもと)
ちゃんと日本語理解して。
わからないならちゃんと日本語勉強して。
とても恥ずかしいから。
Re: (スコア:0)
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。
脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
Re: (スコア:0)
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ
何が疑問なんだ?
Re: (スコア:0)
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
Re: (スコア:0)
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもね
メモリに収まらないとか、必要なハードウェア支援がなかったりして
Re: (スコア:0)
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えると
それでも、推定としか書いてない。
また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
Re: (スコア:0)
そんなん当たり前ですがな。
悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、
脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。