OS Xのソフトウェアアップデート機能に脆弱性 3
ストーリー by yourCat
信じやすい性格 部門より
信じやすい性格 部門より
Mac OS Xのソフトウェアアップデート機能に脆弱性が発見された。ソフトウェアアップデートが見に行くサーバーを詐称することで、任意のデータをAppleが提供するアップデータのふりをしてインストールさせることができるというもの。詐称する部分が肝となるが、ワームやウィルスに狙われると厄介だ。
原理的にはMac OS 9でも同じ脆弱性があると思われるが、どうだろうか。
問題はチェック機構がないことか (スコア:1, 参考になる)
・落としたパッケージがAppleからのものだとチェックできるか
この二点がクリアされていないことが問題か。
例えば似たような機構で、Windowsの場合(Windows Update)だと、ドライバなどでMicrosoftの電子署名がないモノは警告が出たと思うので、変なモノを落とすように仕向けられても一応気が付くタイミングはあるはず。
AppleのSoftwareUpdateに、同様のチェックがないとしたらよろしくなさげ。
Update用のパッケージに電子署名くっつけて、それをSoftwareUpdate側でチェックするだけでも違うんじゃないか。これで、上記の例で下の方は一応クリアだと思う。上の方はHTTPSにしてってことになりそうだけど、下がクリアされていれば別に構わないかもしれない。(外してるか?)
今から間に合うか不明だが、Jaguarにはあらかじめ何らかの対策を盛り込んで欲しい。
SoftwareUpdate自体のアップデートも行うことになるだろうけれど、それ自体が狙われる可能性もあり嫌な感じ。Appleには早めの対策をお願いしたい。
Re:問題はチェック機構がないことか (スコア:1)
ただしおっしゃるとおりそのアップデータをSoftware Updateでダウンロード すこと自体が危険なのでウェブサイト [apple.com]からの入手となります
アドレスも明記しますと
http://docs.info.apple.com/article.html?artnum=75304
となります.
kaho
Re:問題はチェック機構がないことか (スコア:0)
httpsにしても腐ったDNSに引きにいったらダメなんでわ。
SSLの証明書チェックしてどうのって話なら納得だけど、
>・落としたパッケージがAppleからのものだとチェックできるか
がきちんとできてれば、おっしゃるとおりで別にh