スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

--年--月--日 スポンサー広告 トラックバック:- コメント:-

Mac OS Xに「重大」な脆弱性

 今のところはこれを悪用したものは確認されていませんが、これを修正するパッチは公開されていません。なのに脆弱性だけを公開するのはどうかと思いますね・・・。

 ・Macにパッチ未公開の脆弱性--セキュリティ研究者が先に情報公開(CNET Japan)

 Apple Computerは米国時間21日、Mac OS Xにある複数のセキュリティ脆弱性について、調査を進めていることを明らかにした。この脆弱性は、対応するパッチがまだ公開されておらず、深刻な影響を及ぼす可能性があることが、すでに明らかにされている。

 カリフォルニア州ミッションビエホ在住のセキュリティ研究者、Tom Ferris氏は20日の晩に、AppleのOSにある7件の脆弱性についての情報を公開した。これらの脆弱性により、Macユーザーがサイバー攻撃を受ける可能性があるが、なかでも最も深刻なものを悪用されると、攻撃者によって、ユーザーが気付かぬうちにマシン上で悪質なコードを実行されるおそれがあると、Ferris氏はインスタントメッセージングでのインタビューのなかで語った。

 AppleのBud Tribble氏(ソフトウェア技術担当バイスプレジデント)はCNET News.comに対し、「われわれは現在、これに関する調査と対応を進めているところだ」と述べている。「これらは潜在的な脆弱性ではあるが、エクスプロイトコードの公開はまだ確認されておらず、現時点で顧客に影響はないことを指摘しておくことは重要だと思う」(Tribble氏)

 Ferris氏の公開したセキュリティ情報によると、これらの脆弱性のうち5件は、Mac OSがBMPやTIFF、GIFといった画像ファイルを扱う方法に関するものだという。また、もう1つの欠陥はOS XによるZipアーカイブの解凍方法に関するもので、さらに同氏はAppleのSafariブラウザのなかにも複数のバグを発見したと主張している。

 「画像関連の脆弱性が最も怖い。これらの脆弱性によって、攻撃者がホストを危険にさらす複数の方法を手にすることになるからだ」とFerris氏は言う。「これらの脆弱性を見つけるのは難しくなかった。そして、これらを悪用すれば任意のコードをかなり容易に実行することができる」(Ferris氏)

 Appleは、TIFF画像ファイルの処理に関する脆弱性の1つを、10.4.6のアップデートでひっそりと修正していたと、Ferris氏は述べている。だが同氏は、ほかのバグはまだ修正されていないとし、この問題を今年に入ってAppleに報告済みであると付け加えた。

 Appleは、このセキュリティ脆弱性を公表してもだれの役にも立たないとの考えだが、これは大半のソフトウェアメーカーにも共通する立場だ。「潜在的な問題を公表されても、顧客に何らかのメリットがあるとは思えない。一般的には、問題を知る必要があるのは実際にバグを修正できる人だけで良いと思う」(Tribble氏)

 Ferris氏はこれまでにも、iTunesやQuickTimeなど複数のApple製品や、Firefoxウェブブラウザに関する脆弱性の情報を、正式なパッチが用意される前に公開したことがあった。

 セキュリティ監視企業のSecuniaと、FrSIRT(French Security Incident Response Team)はそれぞれ、最新のMac OS Xの問題を「非常に重大」あるいは「重要」としている。

 Secuniaは勧告のなかで、「AppleのMac OS Xでは複数の脆弱性が特定されており、これを攻撃者が悪用すれば、任意のコマンドを実行したり、DoS(サービス拒否)を引き起こせるようになる」と述べている。同社では、同OSのユーザーに対し、これらの攻撃から身を守るため、信頼できないサイトにアクセスしたり、怪しいZipアーカイブや画像を開いたりしないように呼びかけている。

 Appleは、まもなく投入するセキュリティアップデートでこの問題に対処する見通しだが、このパッチをいつ公開するかは明らかにしなかった。「われわれの目標は、すみやかにパッチを投入するだ。どこまで早くできるかは、得られる情報の量や取り組む部分の複雑性など、さまざまな要因によって変わってくる」(Tribble氏)



 ・Mac OS Xに複数のバッファオーバーフロー脆弱性(IT Media)

 Mac OS X v10.4.6“Tiger”に未パッチの脆弱性が複数発見された。フランスのセキュリティサイトFrSIRTが4月21日に発行したアドバイザリーによれば、発見された脆弱性は次の5件。FrSIRTでは危険度を「重大」としている。

「BOMArchiveHelper」アプリケーションが不正なZIPアーカイブを取り扱う際に引き起こすエラーのせいで不正なアーカイブファイルを通して悪意のあるコマンドを実行させることが可能となる。
「KWQListIteratorImpl()」「drawText()」「objc_msgSend_rtp()」関数が不正なHTMLタグを処理する際のエラーにより、この関数を使用するSafariなどのアプリケーションが不正利用される可能性がある。
「ReadBMP()」関数が不正なBMPファイルを処理する際、リモートの攻撃によりDoSまたは任意コマンドの実行が可能となる。Safariで不正なページを開いたり、アプリケーションの「プレビュー」で不正な画像を開けようとしたときに悪用される可能性がある。
「CFAllocatorAllocate()」関数が不正なGIF画像を処理する際、Safariなどの関連アプリケーションをクラッシュさせたり、不正なWebページを経由して脆弱なシステムを悪用したりされる可能性を持つ。
「_cg_TIFFSetField()」関数と「PredictorVSetField()」が不正なTIFF画像を適切に取り扱うことができず、Safari、QuickTime、プレビュー、Finderなどの関係するアプリケーションをクラッシュさせたり、不正なWebページを経由して脆弱なシステムを悪用したりされる可能性がある。
 FrSIRTによれば、これらの脆弱性はMac OS X v10.4.6“Tiger”およびそれ以前のシステムが影響を受ける。Mac OS X Serverも同様。サービス拒否(DoS)攻撃のコマンドを実行させてしまう可能性があるという。

 現在、この脆弱性のパッチはまだリリースされていない。



 Appleは今までセキュリティに関して無頓着でいられました。それはMacが少数のユーザーにしか使われていないため、攻撃者側にもメリットが薄いのが主な原因でした。これがMac OS XになってUNIXをベースにしたため、攻撃者にはすでに研究の対象となってしまっています。攻撃者側の費用対効果という意味では非常に高くなっており、今後厳しい攻撃にさらされる可能性は大いにあります。

 まだMacを使っていて直接の被害は出ていませんが、そのうちそう言った報告も出てくるでしょう。それはしょうがないことでもあるのですが、Appleの対応の遅さが気になります。Microsoftはあれだけ脆弱性の修正をするパッチを提供していながら一時期は「セキュリティの弱い企業」と揶揄されたこともありました。今度はAppleがその汚名を着る番になるかもしれません。

 Appleも早くセキュリティの重要性に気付いて欲しいものです。
スポンサーサイト




出来れば二つほどクリックをお願いします。→ FC2 Blog Ranking







2006年04月24日 セキュリティ トラックバック:- コメント:2

タウンズOSは、安全極まりない普及度だったんだろうなー。

2006年04月25日 おいどん URL 編集

その時代、ウィルスと言っても高度なものはなかったような(苦笑)
でも未だに秋葉原でFM-TOWNSを見かけます、ジャンクですが。

2006年04月25日 さいごう URL 編集












管理者にだけ公開する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。