2005-07-19 脆弱性と普通のバグの違い。 Security 最近はソフトウェアのバグが"脆弱性"と表現されてしまうことが多いように感じる。確かにソフトウェアを落とすことができれば、DoS攻撃できたということになるかもしれない。でも、それは特定の条件下で発生する単純なバグなことが多い。 外部からのデータ送信などによってそのような攻撃が可能であれば"脆弱性"というのだろうか。 MIT krb5 Security Advisory 2005-003: double-free in krb5_recvauth [CAN-2005-1689, VU#623332] このKerberos5のバグなんて単なるメモリの二重解放。こうやった公開されると、かなり恥ずかしい。