シマンテックは2日、ジャストシステムの「一太郎」に存在する未知の脆弱性を悪用するトロイの木馬「Trojan.Tarodrop.D」を警告した。

未知の脆弱性って，未修正の脆弱性って意味で使われてるのが世間一般での常識になってるみたいだけど，どうにもこれが気持ち悪くて仕方がない．トロイの作者が脆弱性を発見したからこそトロイが作られてるんだろうから，その時点で既知の脆弱性になってるじゃん．まあそれはないとしてもシマンテックが発見した時点で既知の脆弱性じゃん．その情報はすでにジャストシステムにも行ってるだろうから，やっぱり既知の脆弱性じゃん．
個人的には，こういう分類だと気持ちがいいんですが．

• 未知の脆弱性：発見されたことのないタイプの脆弱性
• 未知の脆弱性箇所：発見されたことがあるタイプの脆弱性で，未知の場所にあるもの
• 未修正の脆弱性箇所：上記報道された箇所のような，わかっているけど修正されていないもの

でも現状はこうですよね．

• 未知の脆弱性：上記報道された箇所のような，わかっているけど修正されていないもの

報道された時点で既知だと思うんだがなぁ．妥協して↓のように考えるしかないのかなぁ．

• 未知種の脆弱性：発見されたことのないタイプの脆弱性
• 未知の脆弱性：上記報道された箇所のような，わかっているけど修正されていないもの

脆弱性って言葉が，「プログラムAのアドレス0x0000****の場所にある，脅威によって被害を受ける可能性のあるコード部分」であれば世間のいう「未知の脆弱性」には納得できるんですけど．んー，気持ち悪い．