Internet ExplorerとFirefoxの脆弱性分析　(ライフサイクルサポートポリシー　2/2）

ライフサイクルが存在するのは、サポート対象外となったバージョンにはパッチが開発されないからである。これはすべてのベンダーで同じである。しかし、ライフサイクルが短ければ、その分多くのユーザがサポート対象外のバージョンを使い続け、脅威にさらされることとなる。Microsoftの Internet Explorer 6 SP2を例にとって、詳しく説明してみよう。2006年10月、Internet Explorer 6のサポート終了を1ヵ月後に控え、 Internet Explorer 7がリリースされた。1ヶ月以内にすべてのユーザがアップグレードを行うだろうか？6ヶ月以内ではどうだろうか？6ヶ月の猶予期間でアップグレードしない消費者や企業はないだろうか？

Enterprise Unixのディストリビューションに関しても、ライフサイクルの問題がある。Ubuntu 6.06 LTSはFirefox 1.5を取り入れ、2009年までのセキュリティサポートを約束している。Novell SUSE Linux Enterprise Desktop 10 (SLED10)もFirefox 1.5を採用し、2013年までセキュリティサポートを行うことになっている。Red HatもRed Hat Enterprise Linux Desktop 5 (RHEL5)にFirefox 1.5を搭載し、2007年5月に発売しており、セキュリティサポートは2014年までである。

しかし、Mozillaは2007年5月でFirefox 1.5のサポートを終了している。これはRHEL5が発売されてから僅か2ヵ月後のことである。Mozillaのウェブサイトには、下記のように書かれている。
「Firefox 1.5はサポート対象外であり、最終アップデートであるFirefox 1.5.0.12で見つかった脆弱性は、新しいバージョンで修正されています。Firefoxの最新バージョンにアップグレードすることを推奨します。」
このように、Firefox 1.5はMozillaのサポート対象外であり、セキュリティ上の修正が行われない。しかし、ディストリビューションユーザはサポートポリシーを維持するためにFirefox 1.5を使い続けねばならないかもしれないのである。ここでディストリビューションベンダーはセキュリティにおけるジレンマに直面する。彼らにはいくつかの選択肢がある。１つはセルフサポートを行い、ディストリビューション専用のパッチを発行することである。Red HatとUbuntuは2007年7月にFirefox 1.5のパッチをリリースしている。Red Hatのアドバイザリによると、Red Hatのパッチにはバックポートパッチが含まれているという。これはおそらく、Firefox 2.0からバックポートされたものだろう。しかし、各々のベンダーから出される脆弱性パッチは、部分的にしか重なっていないことに注意が必要である。

Ubuntu 6.06 LTS　：　CVE-2007-3089, CVE-2007-3285, CVE-2007-3656, CVE-2007-3734, CVE-2007-3735, CVE-2007-3736, CVE-2007-3737, CVE-2007-3738, CVE-2007-3844, CVE-2007-3845,
Red Hat EL 5　　 ： CVE-2007-3089, CVE-2007-3656, CVE-2007-3734, CVE-2007-3735, CVE-2007-3736, CVE-2007-3737, CVE-2007-3738

このレポートを執筆している時点で、National Vulnerability Databaseによると、Red HatはCVE-2007-3844について調査中であり、今後のアップデートでパッチを公開する可能性がある。他の2つについては何のコメントも載っていない。

他の選択肢は、Mozillaがサポートしているバージョンにアップグレードさせることである。Novellはこの方法をとっている。2007年5月、NovellはSLED10のアップグレードパッケージをリリースし、これにはFirefox 1.5.0.10が含まれていた。このFirefoxのバージョンでは、脆弱性がいくつか修正されていた。次のFirefox「パッチ」はFirefox 2.0.0.4へアップグレードするリプレイスメントパッケージで、6月にリリースされた。過去にはRed Hatもこの方法をとっている。Firefox 1.0から1.5へのアップグレードに焦点をあて、Red Hat RHEL4が2006年7月にリリースされている。

ライフサイクルを考慮することは、企業にとってはより重要なことだろう。顧客向けWebアプリケーションを有している場合があり、メジャーなリリースの間に頻繁にアップグレードを行うことを嫌い、移行期間も比較的長くかかるためである。

脅威にさらされずにアップグレードを行えるようサポート終了がいつかをきちんと把握しておきさえすればよい、という点で、ホームユーザにとっては別の問題である。繰り返しになるが、これはどのようなソフトウェア製品でも同じだがライフサイクルが短ければ、「もっとサポート期間が長ければ。。。」とユーザは思うかもしれない。