古いアプリ、新しい脆弱性

あなたが持つことができる最高のセキュリティ防御の1つは完全にパッチを当てられたコンピュータです。OSだけでなく、大小を問わずすべてのアプリケーションが完全に最新である必要があります。ただし、最新のパッチがあることを確認するだけでは不十分です。パッチを適用したソフトウェアの古い脆弱なバージョンがまだインストールされておらず、利用できないかどうかを確認する必要があります。残念ながら、多くの有名なアプリケーションは、パッチが適用された場合、古いバージョンを削除しません。悪意のあるWebサイトは、クライアントが実行するバージョンを選択することがよくあります。そのため、最新のパッチで安全だと思われる場合でも、代わりに古いバージョンのソフトウェアを呼び出して、以前は心配しなくなった既知の脆弱性を実行できます。

多くのパッチ管理ツールは、インストールされている最新のソフトウェアバージョンにパッチが適用されていることを確認するだけです。パッチスキャンツールがハードドライブを組み合わせて、古いアプリケーションバージョンを探していることを確認してください。欠落しているパッチを検出するための私のお気に入りのツールの1つは、SecuniaのSoftwareInspectorです。それはあなたのハードドライブを検査し、1000以上の人気のあるアプリケーションのパッチステータスを検証します。 Software Inspectorには、無料のオンラインJavaベースバージョンがあります。新しいインストール可能な無料の消費者ベースの実行可能バージョン。エンタープライズ対応の商用バージョン。無料のコンシューマー実行可能バージョンと商用バージョンは、スキャンしてレポートするだけでなく、新しくインストールされたソフトウェアをプロアクティブに監視します。それはかなり気の利いたです。 (著者のメモ:「ニフティ」は専門用語です。)

[Roger Grimesのコラムがブログになりました!SecurityAdviserブログから最新のITセキュリティニュースを入手してください。]

Secunia Software Inspectorを実行する場合は、Thoroughモードで実行してください。非完全モードの場合は15秒であるのに対し、実行には1〜2分かかりますが、不足しているパッチがさらに見つかります。コンピューターでSoftwareInspectorを初めて実行したことがありませんが、不足しているパッチは見つかりません。さらに驚くべきことは、SoftwareInspectorがインストールされているソフトウェアの古い脆弱なバージョンを見つける頻度です。古いバージョンのいくつかは別々のフォルダにインストールされ、他のバージョンは新しいバージョンと一緒にインストールされます。

以前の脆弱なバージョンで私が見つけた最も一般的なアプリケーションは、Sun Java、Adobe Flash、Adobe Shockwave、Adobe Acrobat Reader、RealPlayer、およびMicrosoft .NetFrameworkです。Linux / Unix / BSD側では、FirefoxとThunderbirdを追加できます。多くのユーザーが、新しいバージョン番号にちなんで名付けられたフォルダーに新しいバージョンをインストールすることになります。

公式メカニズムを使用してJava、Flash、および.Net Frameworkを更新すると、パッケージは新しいバージョンをインストールしますが、以前のバージョンは残します。Windows / Microsoft Updatesは、古いバージョンの.Net Frameworkを検出し、パッチを適用したままにしようとします。しかし、Java、Flash、および他の多くのベンダーは、新しいバージョンを追加し、古いバージョンを残し、パッチを適用することはありません。

多くのベンダー、特にSunとAdobeは、新しいバージョンが古いアプリケーションの機能を壊す可能性があるため、古いバージョンを削除することを恐れています。そして、彼らには用心する権利があります。一晩の更新のために、何千ものワークステーションが突然「壊れた」ミッションクリティカルなアプリケーションで表面化するのを見てきました。

たとえば、更新によってクライアントベースのわずか0.5%でアプリケーションが破損したとしても、数億人の顧客を抱える大規模ベンダーは、潜在的に100万人以上の怒っているエンドユーザーを検討しています。それは市場シェアを拡大​​する方法ではありません。

しかし、更新によってごく少数のシステムで問題が発生する場合、大多数を将来のリスクにさらすことは公正ですか?インストール/更新中に互換性の理由で古いバージョンが取り残される可能性があることをユーザーに警告し、新しいインストール中に古いバージョンを削除するオプションをユーザーに提供するベンダーが増えることを願っています。エンタープライズアップデートでは、古いバージョンをそのままにするか削除するスイッチを使用してパッチをインストールするだけで済みます。

複数のアプリケーションバージョンのこの問題が比較的新しい場合、またはそれについて何もしていない場合は、攻撃の新しいパッチプランを作成し、リスクを解決します。まず、古いアプリケーションバージョンをスキャンして検出します。これらの古いプログラムバージョンを見つけたら、現在使用されている他のアプリケーションをサポートするためにそれらが不要になっていることを確認してください。

不要な場合は、古いバージョンを削除またはアンインストールしてください。古いファイルやディレクトリを削除するのと同じくらい簡単な場合もあります。時折、いくつかのプログラムはアンインストールプロセスと戦います。たとえば、一部の古いバージョンのFlashでは、管理者のステータスに関係なく、ファイルを削除できません。これがWindowsで発生する場合は、[プログラムの追加と削除]アプレットを試すか、プログラムのカスタムアンインストールプログラムを実行するか、実行を防ぐためにアクセス許可を変更するか、キルビットを有効にする(ActiveXコントロールの場合)か、インターネットで追加の方法を検索してください。最後に、古い、取り残されたアプリケーションバージョンを考慮に入れた新しいパッチ適用ポリシーを実装します。

以前のバージョンをアンインストールしない場合は、ソフトウェアベンダーからお知らせください。さらに良いことに、アップグレード中に古いバージョンを保持するか強制終了するかを選択できます。関係のないサードパーティソフトウェアをパッチ適用プロセスに忍び込ませない場合は、ボーナスポイントを獲得できます。

サンのポッドキャストとあなたのポッドキャストは本当に