トレンドマイクロさんに脆弱性を指摘して1周年…とんでもない主張を聞かされた話
2020年2月25日にトレンドマイクロさんに、某脆弱性を指摘して受理されたの26日なのでやり取りを続けて1周年になるのですが、いまだに直ってないのは、お茶目ということで許すとして、ちょっと看過できないコメントを頂きました。このコメントの内容は、脆弱性と全く関係ないので皆さんにもちょっと知ってもらいたいなと思いました・ω・
1.「この脆弱性は、トレンドマイクロ製品をアンインストールするまで実行されないのでリスクは低いと考えています」
いや、仮にそうだとしても、トレンドマイクロ製品がウイルスバスターだったら、体験版を試したユーザーが、ソフトが気に入らなくてアンインストールしたら、パソコンを乗っ取られるようなリスクに晒される。しかもソフトアンインストールした後だから、一切防御できないんだけど、リスクが低いって何よ…。って話。
2.「この脆弱性は1年経って新製品には無くなったので脆弱性の確認条件から外れました」
新製品になくなったといっても、旧製品サポート続いてるんだから、脆弱性の案内もせず放置ってどうなんだよって思うんですが。
なんかもう、セキュリティ企業として存在してはいけないんじゃないかって気がしてきてる猫さんだった((((・ω・))))
ちなみに以前公開された別件で私が指摘したトレンドマイクロさんの製品のJVN掲載時も、当初、古いバージョンだから掲載しないという方針を取ったので、それはまずいと掲載するように指摘して修正してもらった経緯があるのですが、全然分かってなかったのはちょっと…。
TrendMicro製品には喩え体験版であっても使ってはいけないと、自ら言ってるようなものかと。
こういう会社への評価は1つしかないと思われます。
たぶん技術がないから直せない。という事をごまかしているだけの会社であるという事。
つまり、技術のない会社の製品を使い続けるリスクはコントロールしないとだね。
トレンド以外だとどこの製品が良いんでしょね
攻撃に利用されたので直したのかな?
https://success.trendmicro.com/jp/solution/000294706