脆弱性の詳細解説サイト

脆弱性の詳細についてMicrosoftや報道機関の発表
より詳しく解説されたサイトなどありますでしょうか？

例：2014.1 IEゼロデイなど

日本国内の情報では概略のみで、実際の脆弱性を引き起こす
コード例や各プロセスレベルでの解説がされているサイトを
探しています。(英語ページでも可です)

セキュリティー全般を勉強しており知識の参考にしたいと思います。

よろしくお願い申し上げます。

No.1 ベストアンサー 回答者： drum_KT 回答日時： 2014/11/03 21:44

求めているレベルの情報は、すべてがまとまって解説されているようなサイトは存在しません。

また、すべての情報が一般に公開されるとも限りません。ソフトウェアベンダーが独自に脆弱性を発見して修正した場合、その詳細は伏せられることもあります。理由は、詳細を開示してしまうと悪用が可能となるからです。

世界には、脆弱性を発見してソフトウェアベンダーに通報することで賞金稼ぎをしていたり、セキュリティベンダーに所属して研究していたりする人が大勢います。彼らは、他人がまだ発見していない新たな脆弱性を発見することを競っており、自分が新しい脆弱性の発見者である場合、その内容を自分のブログなどで詳細に公開していることがあります。

なので、個々の脆弱性について、詳細情報が知りたい場合はそういうサイトを探し回ることになります。脆弱性にはたいていCVE番号というものがついていて、その番号で一意に識別できるので、詳細を知りたい脆弱性のCVE番号をキーにして検索をかけてみるのが手っ取り早い方法です。


ちなみに、それら個々の脆弱性の詳細情報を読む以前の前提知識として、情報処理技術者試験の情報セキュリティスペシャリストの教科書に載っているような脆弱性の基本的な原理や攻撃手法の基礎について、十分な知識を持っているという自信がまだないようでしたら、先にそちらを勉強されることをお勧めします。

前提知識を十分に持っていれば、脆弱性の概略を読んだだけで、どういうタイプの脆弱性なのかはおおよそ判断がつくようになります。

この回答へのお礼

大変参考になりました。

ありがとうございました。

お礼日時：2014/11/04 23:07