Internet Explorer for MacOSに巨大なセキュリティーホール 51
ストーリー by Oliver
トロイの木馬 部門より
トロイの木馬 部門より
nidak 曰く,"本家を読んでいたら、ちょっとがっかりするニュースが目に付いた。その名も"Internet Explorer for MacOSの巨大なセキュリティーホール"。Macintouchによる報告によると、このセキュリティーホールを利用することにより、BinHex(.hqx)エンコードされたプログラムの圧縮ファイルがダウンロードした後で(解凍してクリックしなくとも)自動的に実行できるようになってしまうらしい。ってことは、ウィルスプログラムをBinHex型式で圧縮してユーザーにダウンロードさせれば、ダウンロードが完了した時点で勝手に実行され、マシンを感染させてしまうってことだ。なんてこったい。"
とりあえず (スコア:3, 参考になる)
日本語の文字コード判定が全自動とは行かないとこがつらいので、[ブラウザ]→[ツールバーカスタマイズ]で「文字エンコーディング」を追加しとくと吉
どさくさに紛れて (スコア:3, すばらしい洞察)
---
sakura@System7萌え
--- $ /usr/bin/cc sakura
勘違いではなく (スコア:3, 参考になる)
OS X以前のOSでも.hqxをダウンロードすることで、権限がないにも関わらず、ソフトを実行できてしまうということができたし(IEだけでなくNetscapeでも)、またディスクイメージファイルにイメージ内のプログラムを自動的にマウント後に実行させることもできる。ようするに、(今回のIEのような)ソフトによる自動化作業によって、思いがけないセキュリティーホールにつながるといった話をしただけだ。
There is no spoon.
Re:とりあえず (スコア:2, 参考になる)
IEの環境設定から
セキュリティゾーンの項目のでカスタムを選び、[アプリケーションとファイルの起動」を無効にする。
回避方法 (スコア:2, 参考になる)
IEの環境設定を開いて
受信ファイル ダウンロードオプションの項目で
「自動的にファイルをデコードする」のチェックをはずす
ことでとりあえず勝手に起動することは避けられるようです。
Windows版IE6でも (スコア:2, 参考になる)
Windows版IE6でも,getした*.exeなファイルを直接実行するのがデフォルトになっているそうですね。
Re:IE は Mac をも蝕むのか。 (スコア:2, 興味深い)
WebDevのパスワードが平文で流れるなど、セキュリティ問題が取り上げられるようになってきたので、そろそろMac OS Xもメジャーになってきたかな。
別にIEでなくとも (スコア:2)
またStuffItにはimgファイルを自動的にマウントしてしまう機能がついている。imgファイルのマウント先には、自動的にプログラムを起動できるようにしておくことも出来るので、ここにウィルスプログラムやApple Script等を仕込んで、システムをクラックすることも可能だ。
結局ある程度自動化されている中に、ちょっとしたセキュリティーの穴が含まれていることになる。ともすればこの自動化の仕組みは、IEだけに限らず、MacOSを悩ます機能にもなる。このOS全体における様々な自動化機能をディフォルトでOFFにしていないと、かなりセキュリティーレベルが低下しそうだ。
There is no spoon.
Jobsは訴えるかな? (スコア:2)
ってそんなわけないだろ。
AppleはMSを訴えるだろうか?
ここまで穴がでかいと、Jobsだったらやるかも。
Appleも、広報とか対応とかで金かかるだろうし、しかもそれがMSが仕込んだバグのせいとくれば。。。
やってほしい。
nimdaに (スコア:1)
Re:とりあえず (スコア:1)
-----------------
#そんなワタシはOS/2ユーザー:-)
Re:nimdaに (スコア:1)
感染力...アップするといえばするでしょうが、アーキテクチャから何から違う環境でも動くような大規模な変更ができたらそれは既に亜種じゃなくてぜんぜん別のウィルスと言っていいと思うです。
言い換えるとそんな変更は大変なのですぐにnimda+Mac感染、というウィルスが出てくるとはちょっと考えにくいかな。
Re:とりあえず (スコア:1)
はすかわ
Re:とりあえず (スコア:1)
Macの起動ディスクから
"MS"で始まるファイルをすべて選び,ゴミ箱にドラッグする.
とOfficeまで動かなくなりますんでIEだけ削除の方がいいか.(^_^;
# IE必須でないOSでIEを使う理由がよくわからない.時々必要に
# なるなら,ディスクイメージにインストールしておいて適宜
# マウントして使う方法もないでもないけど.
ちょっとどころじゃないでしょう (スコア:1)
余計なことしかしないんだよね。
元記事の通り実験したら、確かに実行した。
StuffItが不要だってとこも恐ろしいね。
Re:とりあえず (スコア:1)
環境設定のダウンロードオプションの項目で
「自動的にデコードする」のチェックをはずす
のほうが確実かと思われます。
IE は Mac をも蝕むのか。 (スコア:1)
セキュリティホールなんてどこ吹く風、と思ってましたから。
MacOS 9.x 系列ならば、IE と共に Netscape もデフォルトで
入っているのでまだましなんですけど、X は IE しか選択肢が
ないですからね…
個人的には Mozilla の MacOS X バージョン切望とか、
もしくは Apple 自身でブラウザ作っちゃうとか。
その昔 Cyberdog なんてのもありましたしね。
マイクロソフト (スコア:1)
全員でないにしろ。
選択肢はある (スコア:1)
・iCab
・Mozilla(通称Fizzilla)
・Netscape6.1
・OmniWeb
・Opera
といった選択肢がありますよ。
OmniWeb以外はβ版ですけど。
Re:選択肢はある (スコア:1)
意味の発言でした。ビギナーなヒトはやっぱりすぐそこにある
ものを使いたくなると思いますからね。
自分は IE 以外で実際に OSX 上で使ったことがあるのは
iCab と Omni だけですね。Mozilla があるのは知りません
でした。
iCab は OS9.1 でも重宝して使わせてもらってます。
Re:とりあえず (スコア:1)
当然,大丈夫でしたけど....
IE使ってなかったから気付かなかったけど,.hqxのデコードは,
IE自身がやってるんですねぇ.なんで?なぜヘルパーアプリに
処理を渡さないの?
Re:選択肢はある (スコア:1)
ちなみにMacOS X用のMozillaは以前は派生プロジェクトな扱いでしたが、最近はMileStoneリリースでも他のアーキテクチャと同時に出るようになりましたし、ほぼ毎日Nightly Buildが出ています。かなり安定してきてますよ。
Re:とりあえず (スコア:1)
Re:nimdaに (スコア:1)
私は客先でしかMACは使った事が無いので良く知りませんが、
ウイルスの様にシステムの奥深くに入り込んだ物を駆除と言うか撤去する場合って
やはり面倒なものなんでしょうか?
どうもコマンドラインの無いGUIなOSって、そう言った場合の操作が
難しく思えて・・・。
-- non --
Re:IE は Mac をも蝕むのか。 (スコア:1)
せっかくXにはOpenSSHがデフォルトでインストールされてるんだから、WebDAVもメールサービスもぜんぶover sshでできるようになればいいのに。
Macでウイルス (スコア:1)
例えば懐かしの「INIT29」というウイルスは「INIT」リソースのID:29に自分自身を追加するので、発見も駆除も容易でした。
でも今時はみんなワクチンを使うだろうし、ワクチンソフト開発の手間はWinもMacも変わらないと思いますよ。
「面倒」というのは何と比べて面倒か、というのにもよりますよね(^^;)。
/* Written by Takayuki Masuda */
Re:とりあえず (スコア:1)
まだまだプレビュー版のブラウザなのでスタイルシートの実装が甘いですが、JavaScriptはだいぶマシになってきましたね。いい感じに動いてます。
/* Written by Takayuki Masuda */
Re:とりあえず (スコア:1)
/* Written by Takayuki Masuda */
Re:どさくさに紛れて (スコア:1)
Re:自前の解凍エンジン (スコア:1)
ないとおもうが。。。。(笑)
それは.hqxに限らず、ヘルパーにアプリ実行で設定
されている拡張子はすべて該当アプリに渡されますよね。
「自動でデコード」はIEが解凍するか、ヘルパー
登録されているappで解凍するかの選択でしかないので
解凍自体を拒否するなら、ダウンロードヘルパーの
設定を全て削除するのが良いでしょう。
それが便利だとは思いませんが。。。。
ダウンロードした場合 (スコア:1)
ダウンロードしてきたファイルをいちいちウィルスチェックして実行している慎重なユーザー意外はこの穴がなくてもやられちゃう可能性大でしょう。
問題は間違って変なファイルダウンロードしちゃった場合。
Nimda が利用したような自動でダウンロードされちゃうような大穴があるとヤバイですね、、、
uxi
Re:とりあえず (スコア:1)
もっともWindowsみたくレジストリ登録とかしなきゃいけないわけでもなくアプリケーションのフォルダと初期設定フォルダ内の初期設定ファイル消すだけでアンインストールができたからというのもあるけど。
Re:とりあえず (スコア:1)
#だって、IEのデコードって怪しいんだもん(解けなかったりファイル壊したり。今はちゃんとしてるのかな?)。いつも真っ先にOFFにしてるん。
Re:ダウンロードした場合 (スコア:1)
一見他のページへのリンク、実は危ないhqxファイル、というような偽装をされるとうっかりクリックしただけでアウトになるわけで。
なんかアプリが出てきてなんだこりゃと思うだけのワンクッションがあるだけでだいぶ違うと思うのです。
AppleとMSの関係 (スコア:1)
他のブラウザを使えば、それだけで終わる話だけど。
他力本願。
Re:AppleとMSの関係 (スコア:1)
これからでてくるOfficeに入っているメーラなんか,OutlookExpress並みの親切な機能が盛り込まれていれば,それは、想像したくない...
ま、こういう方針が適用されれば,安全が優先された設定で出荷されるかもしれないですが.
Re:とりあえず (スコア:1)
今使っているのは Nightly Build 200110203ですが、現時点で67Mほど使ってます。
0.9.3の時で30M位だったから、なかなか盛大に漏れて
いますな。(;´д`)
# タブブラウザ機能が追加されているので、なかなか
# 便利ではありますが。
# 早く修正されないかな。
Re:ダウンロードした場合 (スコア:1)
Re:とりあえず (スコア:1)
わざわざ Classic 環境で Netscape4.72 使ってます。
> MSIEはあまりにクラッシュするので嫌気がさして止めました。
クラッシュならまだしも kernel panic 起こすんですよ。
詳しい OS の構造わかってないんですが、とりあえず後にも先にも
こいつ以外で kernel panic なんて起きたことねえ~。
[udon]
Re:とりあえず (スコア:1)
ん?
これはレガシー Mac OS じゃなくて OS X でも同じなのかな?
レガシー Mac の IE は、正体不明の機能拡張を山ほど入れてくれる
素敵な仕様のままですね。
やっぱり finder の「ラベル」便利だぁ~。復活希望。
[udon]
Re:nimdaに (スコア:1)
対処法も違うののの。
今後 UNIX な知識が必要になるとしたら、漠然と難しそー。
[udon]
Re:IE は Mac をも蝕むのか。 (スコア:0)
Re:Jobsは訴えるかな? (スコア:0)
バグじゃないよ、仕様だよ
資本が入ってるから無理かな (スコア:0)
資本が入ってるから無理かな?
あのワン公にもう一度、愛の手を! (スコア:0)
でも、そうなるとOpen Docも復活か?
Netscape? (スコア:0)
たぶん、勘違いされていると思います。
この問題はOS X 10.1に含まれるIE5.1が自前のエンジンでデコードすることに起因しているようです。
StuffItに引き渡した時には自動実行はされません。
自前の解凍エンジン (スコア:0)
なぜ余計な機能を付けるのか?
StuffItに引き渡してりゃ、自動実行なんてされないみたい。
ちなみに環境設定で「自動でデコードする」をOFFにしても、StuffItには渡されると自動『解凍』はされますね(設定にもよりますが)。
Re:どさくさに紛れて (スコア:0)
Re:自前の解凍エンジン (スコア:0)
通常はIE→Stuffitでおしまいなので、解凍された後は何も起きない。
(StuffItは悪さをしないし、IEは解凍後のファイルにアクセスできない)。
自前の怪盗(?)エンジンを積んでしまったIEはStuffItに渡さないから、解凍後のファイルにタッチできる。
で、結果的に解凍後に自動実行するなんてお馬鹿な仕様が可能になった。
環境設定で「自動でデコード」をOFFにした上で、StuffItに渡す設定にしておけば(これまでと同様)自動解凍はされるが、実行はされない。
Re:勘違いではなく (スコア:0)
これがよくわからないので、ご教授お願いします。
上記のようなケースに遭遇したことがないのですが…。
実行可能フィルが直接.hqx変換されていることは通常なく、.sitなり他の形式なりに圧縮後に.hqx変換されています。この場合は.hqxのデコードおよび解凍までは自動で行きますね。しかし、ソフトが実行されるようなケースには遭遇したことがありません。
ブラウザはStuffItにファイルを渡すだけ。StuffItはデコードおよび解凍するだけ。
ひょっとすると、実行可能ファイルを直接.hqx変換しておけば、ダウンロード後、.hqxデコード→ソフト実行まで行ってしまうんですか?
※以下の機能は知っていますので、それ以外の部分を教えていただけるとありがたいのですが。
・StuffItの「ディスクイメージの自動マウント」
・QuickTimeの「CD-ROMの自動再生」