Acanthopanaxによる
2004年04月09日 7時39分の掲載
あやしいファイルは開かない部門より。
あやしいファイルは開かない部門より。
セキュリティソフト製作会社のIntegoが、Mac OS X向けのトロイの木馬についての警告を発している。MP3Concept (MP3Virus.Gen)と名付けられたこのトロイの木馬は、拡張子が.mp3であり、MP3ファイルのアイコンで表示されるが、ID3タグ内にコードが仕掛けられているという。ダブルクリックして起動すると、悪意のあるコードが実行され、ファイルの消去、電子メールによる自身のコピーの送信、MP3・JPEG・GIF・QuickTimeファイルへの感染をひきおこす可能性があるとのこと。
[2004-04-09 17:15 JST Acanthopanaxによる追記] MP3アイコンを表示させる仕組みがまだ不明確ですので、その部分を中立的な表現に修正しました。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
もっと具体的で詳細な情報が欲しい (スコア:2, 興味深い)
どのバージョンで脆弱性があるのか、ダブルクリックで起きるなら
Mac OS 9以前でも同様ではないのか、それから具体的な対策方法
がファイルをダブルクリックしないこととしか示されていませんね。
またJPEGとGIFでも同様だと書いてありますが、PNGやTIFFやPDF
なら大丈夫ってことなのでしょうか。Macで一般的なAACファイル
やQuickTimeのファイルについては?
さて、.MacのVirexのウィルス定義ファイルはまだ更新されていま
せんが、Symantecのものはどうなのでしょう?
早いところAppleがSecurity Updateを出すことが肝心な訳ですが。
Re:もっと具体的で詳細な情報が欲しい (スコア:5, すばらしい洞察)
harden-mac MLには[harden-mac:0620] Re: First Mac OS X Trojan Horsel [ryukoku.ac.jp]が投稿されています。
手前味噌で申し訳ないが私の日記 [hatena.ne.jp]では考察も入れています。
この手のネタではリンク貼っても読まない人が多いみたいなんで要約しますが、
Carbon/CFMのアプリケーションに適当な拡張子をつければ、このトロイの木馬と同じことが可能になりますので、拡張子を持つ全ての書類でこの脆弱性を用いたアタックが可能になります。
Mac OS 9以前であっても同様。拡張子でアイコンがつかないタイプのファイルであれば、任意のアプリケーションのアイコンでも貼付けておけばいいわけです。
Appleに望む対処、つまりSecurity UpdateでAppleがこの脆弱性をつぶすときに取れる手段は以下が考えられます。
・Carbon/CFMの禁止
これは、まぁ、無理でしょう。
・アイコンに実行可能バッチの追加
実行属性を持つファイルのアイコンに、エイリアスなどと同様、アプリケーションであるパッチをつけることで、ユーザ任せの回避策ですが、これもあり得る解決策ですね。ただ、アプリケーションを何らかの手法で実行されてしまう可能性もないとは言えないので、実効性は薄いと考えます。
・アプリケーション起動パスの制限
/Applicationsや~/Applicationsなどの限られた場所にないアプリケーションを起動できなくすることで、現在表面化していない様々な脆弱性に対処できます。
ぜひとも、アプリケーション起動パスの制限が実装されてほしいものです。
親コメント
切り分け? (スコア:3, 参考になる)
- Carbon app を普通のファイルに偽装させる
- mp3 ファイルのid3 タグにスクリプトを仕込む
は別の物として考えるべきだと思います。上の場合はファイルの上にポインタを合わせるとファイル情報の要約が 出るようにしておけば防げます。
つまり拡張子やアイコンを信じるのではなくて、ls -l とfile の結果を信じる、 ということです。
下の場合には仕組みがよくわかってないので何ともいえませんが
QuickTime なりの実装に問題があるように思えます。
他の方も書き込んでますが、ここの情報が欲しいです。
今回のタレ込みはこの下の問題を言っているのであって上の問題と ごっちゃにしない方がいいと思います。
親コメント
Re:切り分け? (スコア:3, 参考になる)
今回の警告と同じような動作をするサンプルが、既にあがっているのですが
http://www.scoop.se/~blgl/virus.mp3.sit
このファイルではMP3ファイルのID3タグ内にppcのCarbonアプリケーションが埋め込まれ、ファイルタイプがAPPLとなっています。ダブルクリックするとID3タグ内のアプリケーションが実行されますが、iTunesで普通にMP3として音声を聞くことも可能です。
この方法を用いても同じことができる、というだけで同じ手法を用いたトロイの木馬が今回発見されたものかどうかは判りません。ここのきり分けをせずに投稿していました。
親コメント
Re:切り分け? (スコア:2, 参考になる)
リンク間違ってるし(笑
[harden-mac:0632] [ryukoku.ac.jp] ですね。
--
vm%パスワード忘れた
親コメント
Re:もっと具体的で詳細な情報が欲しい (スコア:2)
そういう否定されているレガシーなやり方では全くダメですね。
同じパスにインストールされるアプリケーションに付属する書類は
実行出来てしまうのだし。それにMac OS 9でどうやるんですか?
局所的かつ暫定的としか思えない方法には反対します。Appleには、
もっと上手くまともな対処をやってくれるように期待しています。
親コメント
分かってきたCFMの脆弱性 (スコア:2, 参考になる)
これならCarbon Libのアップデートで対処出来そうな気もします。
More details on Trojan Horse for Mac OS X [macnn.com]
続報いろいろ (スコア:2, 興味深い)
Re:続報いろいろ (スコア:2)
親コメント