パスワードを忘れた? アカウント作成
Close
10108 story

Dashboardウィジェットが知らないうちにインストールされる可能性 12

ストーリー by Acanthopanax
便利すぎる機能 部門より

Mac OS X 10.4のSafari 2.0でウェブページを開くだけで、自動的にDashboardウィジェットがインストールされる可能性があることが指摘されている(デモと解説のページ(注: 回避策をとっていないSafari 2.0でアクセスするとウィジェットをインストールされる)、本家ストーリー: Malicious Web Pages Can Install Dashboard Widgets)。Safari 2.0は、ウィジェットをダウンロードすると自動的に~/Library/Widgetsへインストールする機能を持っており、上記デモページでは、これとHTMLのmeta refreshとを組み合わせている。インストールされたウィジェットは自動的には実行はされないものの、知らないうちに悪意のあるウィジェットをインストールされる可能性が指摘されている。回避方法は、Safariの環境設定で「ダウンロード後、“安全な”ファイルを開く」のチェックをはずしておくこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Dashboardウィジェットが知らないうちにインストールされる可能性 More

  • Mac OS X 10.4.1で修正 [apple.com]されました。

  • IEみたい (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2005年05月09日 21時45分 (#732708)
    Dashboard が WebKit を使っていて、Safari でも開けるという記事を読んだ時、 なんか Windows の IEと同じような問題が起きそうで大丈夫かな? と思ったのですが、早速ですね。
  • Safariでは(デフォルトでは)デスクトップにファイルをダウンロードし、「安全なファイルを開く」は圧縮ファイルを展開して(同じく)デスクトップに保存、元の圧縮ファイルはゴミ箱に移動されるのですが、
    拡張子.wdgtを持つパッケージがその中にあると勝手に~/Library/Widgetsへ移動されるようです。

    #展開されたファイルがデスクトップのどこにもないのでダウンロードし直した馬鹿
  • これは「Finder の問題」との合わせ技と考えると良いのではないでしょうか。

    つまり、実行ファイル(バンドル)をどのディレクトリにおいてあっても
    ダブルクリックで実行できてしまう、また特定のディレクトリに配置された
    ファイルは自動的に実行されてしまう、というFinder の機能です。

    今回のwidget は勝手に実行される事は無いようなのでそこまで危険では無いでしょう。
    しかし例えば~/Library/InputManagers にダウンロードファイルを
    自動で配置されるようなことがあると、キーロガーを仕込まれる可能性が出てきます。

    スクリーンセーバーのようにバンドルをダブルクリックすることで
    インストールするかどうか確認する、というのが正解な気がしますね。

    • Re:Finder の問題でもある? (スコア:1)

      by wanwan (45) on 2005年05月10日 9時29分 (#732851)
      なんだか、アラートの一発でも出せば済むような問題かとも思いますね。
      keyloggerや、踏み台にさせられる可能性は、全くないとも言えず、逆にDashboard自体が、下位でPerlでもRubyでも動かせる仕組みになっているので、間違いなくその手の踏み台アプリは作られそうです。

      一番良いのは、widget自体に認証をかけることでしょうけど、そこまでやるようなものでもないような気がするし・・・

      まぁ、昔から言われてきたことですが、信用できないところからはダウンロードしない、訳の分からないwidgetはダウンロードしないという自己防衛でしょうか?
      シェア
      親コメント

  • シェア拡大 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年05月10日 11時57分 (#732915)
    社員「Macはウイルスやセキュリティホールが少ないと話題になっています」
    ジョブス「なにそれは問題だ!よし、ウイルスとセキュリティホールのシェアも拡大だ!」

    という理由でわざと穴が開けられました、仕様です。

  • CNET (スコア:0)

    by Anonymous Coward on 2005年05月10日 16時53分 (#733026)
    必要以上にあおっている気がするなぁ。

    「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に
    [cnet.com]
    そもそも Dashboard の問題なのだろうか。

    まあ、とりあえず、Dashboard に限らず何が安全で何がそうでないかは
    ファイルの名前や種類からはわからないわけだから、既出の通り
    「ダウンロード後、"安全な"ファイルを開く」のチェックを外すってことで
    いいんではないの?
    # むしろデフォルトがそうなってるほうがいい気がするな。

    • Hotwiredの記事 [goo.ne.jp]も同様だけど、なんだか複数の問題が一緒くたに論じられているような気がする。問題はおそらく以下の3点。

      • Safari 2.0で、「ダウンロード後、“安全な”ファイルを開く」をチェックしていると(デフォルト)、ウィジェットが勝手にインストールまでされてしまう。
      • 危険なウィジェットが作成される可能性がある。
      • ウィジェットのアンインストール方法がわかりにくい。

      このうち、ウィジェットのアンインストール方法は、ヘルプなどで説明があればすむ話。特定のフォルダへのファイルの出し入れでインストール/アンインストールをおこなうというのは、機能拡張やコントロールパネルの時代からの伝統である。とはいえ、後年「機能拡張マネージャー」ができたように、Widget Manger [downtownso...ehouse.com]のような形で管理できた方がいいというのはあるかも。

      危険なウィジェットが存在しうるというのは、危険なアプリケーションが存在しうるというのと同じ話。信頼できないサイトからファイルをダウンロードすべきではないというのは、まあ基本だろう。ただ、"Dashboard Programming Guide: Security [apple.com]"で記述されているセキュリティ・モデルが~/Library/Widgetsでも例外扱いになっている(みたいな)のは再考の余地がありそう。

      で、今回の問題で最大の問題なのは、Safari 2.0のデフォルトの設定で「ウィジェットが勝手にインストールされる」ということではなかろうか、と。

      しかし、あおるだけで対処策に言及しないのはどうかと思うぞ > Hotwired。

      シェア
      親コメント

    • Re:CNET (スコア:0)

      by Anonymous Coward
      というか、恐ろしくレベルの低いハッカーですね。単に、エロ画像のページにrefreshで飛ばすのとレベルがかわらないと言うか、、、
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy