パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

流出したソースコードからIE 5の脆弱性が発覚」記事へのコメント

  • えっと、毎度おなじみ Full-disclosure ML ですよね。報告者は、gta@hush.com さんですよね。なんでこれがセキュリティ会社の報告って事になるんでしょう? もとの Internet Watch から誤っていますが、たれ込む前にちょっと見て欲しいものです。
    • by Anonymous Coward

      Full-disclosure ML。
      報告者は、gta@hush.com

      大変申し訳無い事をいたしました。
      Watchの記事自体が誤りであるというご指摘ですね。

      見つかった脆弱性の性質には誤りは無いのでしょうか ?

      毎度おなじみという事のようですが、
      私の様な素人にもわかる様にそれがどういう性質のMLか、
      いつそれが公開された物なのか等詳細
      • by alp (1425) on 2004年02月17日 23時56分 (#497754) ホームページ 日記
        私はくだんのコード実際に見た訳じゃないので、推定ですが

        コードが書かれているとおりなら、脆弱性の内容に誤りはないです。また、問題の投稿は、Full-disclosure ML に、SecurityTracker 社の記事にあるように、2/14 に行われたものです 。ここまで書くと探すには困らないかと。なお、実際の投稿には Subject はありますが、PC 的にアレな代物なので SecurityTracker 側でカットされています。

        で、このメーリングリストですが、セキュリティ関係の欠陥を議論する普通のメーリングリストです。月三千通ベースなので、やや小規模でしょうか。ただし、このテーマのメーリングリストは多くないのと、題名の通り情報は隠さず開示して議論 (欠陥の内容、回避など) を行うことを標榜しているため、穴指摘はあります。穴の技術的な詳細が、パッチが出た事後にでも開示される場って少ないので (特にこの関係の話は新規の種類の欠陥、ってのが少なくない)、貴重な場の一つではあります。

        親コメント
        • Full-disclosure MLは、セキュリティーに関して、
          技術的な詳細が掲載されるメーリングリストでもあるのですね。

             # ていねいな解説ありがとうございます MIYU

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...