このエントリーをはてなブックマークに追加
Share on Facebook

「Outlook」v97〜2003に記載と異なるURLへリンクしたメールを作成できる脆弱性@セキュリティホールmemoさん
いや、僕にもさっぱり理解できないのですが…
これが脆弱性ならば、上のリンクもその脆弱性をついたhtmlといえるのでしょうか。
というか、これはOutlookの脆弱性なのでしょうか…
というか、脆弱性なのか…??


んっと、つまりこの場合、平たく言うと頭の悪い人対策という気がします。
が、こういうのまで入ってくると脆弱性っていったいなんなのでしょう、という気がします。
ざっくり考えると、何かしらのシステムにおいて、システム上への侵入および内包する情報を引き出せるウィークポイントだと思っています。基本的にそういうモノはいくつかの方向性があり、システム上にこちらからアタックをかけることで発現する脆弱性(セキュリティホールですね)と、何らかの偽証を施したモノを攻撃者に提示しそれを踏ませることで攻撃を発現する脆弱性(CSRFやXSSなどですね)というのが代表例であると思っています。
さて、このOutlookの脆弱性はどういう方向性なのでしょう。リンクの表現自体は確かに偽証ととれなくもないです。が、しかし、メールを作成している時に、Toをみればこれは確認できるのではないでしょうか。リンクを開いたら想定外のメールアドレスに勝手に情報を送信する、という形であれば脆弱性であると思うのですが、これは違うのではないでしょうか。
言葉の使い方はよく気をつけないと様々な方向性を与えられ扇動させられます。バグ、脆弱性、不具合、仕様と様々なモノがあるのですが、それらを一緒くたにして表現している場合も見かけたりする気がします。これは本当に気をつけなくてはなりません。