最近はソフトウェアのバグが"脆弱性"と表現されてしまうことが多いように感じる。確かにソフトウェアを落とすことができれば、DoS攻撃できたということになるかもしれない。でも、それは特定の条件下で発生する単純なバグなことが多い。
外部からのデータ送信などによってそのような攻撃が可能であれば"脆弱性"というのだろうか。

• MIT krb5 Security Advisory 2005-003: double-free in krb5_recvauth [CAN-2005-1689, VU#623332]

このKerberos5のバグなんて単なるメモリの二重解放。こうやった公開されると、かなり恥ずかしい。