アップルとマイクロソフト、脆弱性の修正が多いのはどっち?

アップルは今月、約250個にも及ぶ脆弱性を解決するため、7件の修正プログラムを公開しました。最新の修正プログラムは3月21に配信され、Mac OS X 10.6.7に対応しています。

修正プログラムごとにCVE(Common Vulnerabilities and Exposures)識別番号が記載されていますが、対応している脆弱性の数は正確には把握できません。IDの中には、複数の修正プログラムに記載されているものもあり、たとえば、CVE-2011-0191とCVE-2011-0192は5つの修正プログラム(Apple TV 4.2、iOS 4.3、iTunes 10.2、Mac OS X v10.6.7/Security Update 2011-001、Safari 5.0.4)に記載されています。

重複する項目を取り除いた結果、3月の256個の問題が123件のCVE参照URLにリンクされていることが判明しました。2010年を調べてみると、1年間のCVEの件数は468件でした。2011年1月に1件CVEに対応していることから、アップルは2010年1月から2011年3月までに、合計592件の脆弱性を修正したことになります。

ちなみにCVE-2006-7243は、2011年の修正プログラムで対応されたもののうち最も古い脆弱性です。その他はすべて2010年から2011年にかけてのものです。以下は、過去15カ月間に対応が確認された脆弱性592件の詳細です。

  • 2003年のCVE 1件(CVE-2003-0063)
  • 2006年のCVE 2件(うち1件は2011年第1四半期)
  • 2008年のCVE 11件
  • 2009年のCVE 68件
  • 2010年のCVE 428件(うち41件は2011年第1四半期)
  • 2011年のCVE 82件(すべて2011年)

では、アップルとマイクロソフトでは、どちらが多くの脆弱性を修正しているのでしょうか。

同一期間中(2010年1月~2011年3月)、マイクロソフトは123件のセキュリティ情報を公開し、298件の脆弱性(CVE)を修正しました。これは、アップルが修正した脆弱性の約2倍に相当します。

深刻度で比べてみると、アップルの2011年の脆弱性のうち、危険度が低い脆弱性は1件だけです。残りの123件は、すべて「緊急」または「極めて緊急」に指定されました。一方、マイクロソフトの場合、「緊急」は8件だけで、残りは「重要」が20件、「警告」が1件でした。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Busy Month for Apple

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速