Security Update 2006-001リリース 15
ストーリー by Acanthopanax
忘れずアップデート 部門より
忘れずアップデート 部門より
Appleから、Mac OS X向けにSecurity Update 2006-001がリリースされた。10.3.9クライアント用、10.3.9サーバ用、10.4.5 PPC用、10.4.5 Intelクライアント用のそれぞれが用意されている。ソフトウェア・アップデートからもアップデート可能。Leap.Aへの対応や、スクリプト自動実行脆弱性への修正も含まれる。
Front Row (スコア:2, 参考になる)
ちなみにセキュリティ・アップデートの対象は以下。要再起動。Safariの脆弱性が改善されたのは重要ですね。それぞれ対応された脆弱性のリストはこちら [apple.com]。
apache_mod_php
automount
Bom
Directory Services
iChat
IPSec
LaunchServices
LibSystem
loginwindow
Mail
rsync
Safari
Syndication
Re:Front Row (スコア:1)
うちには IR レシーバー搭載 Mac がないので、ソフトウェアアップデートでは出てきませんでした。
不完全? (スコア:1)
Re:不完全? (スコア:2, 参考になる)
ターミナル書類でも、.jpgや.movという拡張子をつけるとやはりJPEGやmovのアイコンで表示されます。まあ、カスタムアイコンという手段もありますし、もともとアイコンは信用できないのですが。
Re:不完全? (スコア:0)
zipをターミナルに関連付けたらそうなるのは当たり前の気がするが…
Re:不完全? (スコア:1)
--
とりあえず feedback はしてみた
Re:不完全? (スコア:2, 興味深い)
中身が のみのtest.movにchmod +xして、FinderでTerminal.app書類に
してからzipアーカイブ作成。これを「安全なファイルを開く」Safariで
落としたら、
"test.mov.sh"はアプリケーションです。
というシートが出ました。(何故か.shが付いている)アプリケーション"test.mov.sh"をダウンロードしてもよろしいですか?
(キャンセル) (ダウンロード)
キャンセルを押すとディスク上に保存されず、ダウンロードを押すと
test.zipを解凍したtest.movがディスク上に保存されました。
自動実行はされませんでした。
というわけで一応対策されているように思いますが、どのような
方法でzipアーカイブを作成されたのでしょうか?
Re:不完全? (スコア:1)
また、アップデート適用後は、すでに公開されている実証コードをダウンロードしても自動実行されないことも確認済みです。
で、
| どのような方法でzipアーカイブを作成されたのでしょうか?
違うのはスクリプトの中身です。Zip アーカイブを作るところとかの手順は(たぶん)同じ。
--
そこに書かれている「中身」をちょいと変えると再現できると思います
Re:不完全? (スコア:1)
先ほどのtest.movのshebangを削ってみたところ、表示される
シートの内容は若干違いましたが、やはり自動実行されませんでした。
(中身によるのかも知れませんね)
しかし、中身を見るにも限界がある気がするので、やはり属性による
厳しいチェック(推奨アプリケーション以外で開かせようとする実行可能書類を
安全と見なさない、等)が必要な気がします。
Re:不完全? (スコア:3, 興味深い)
> 厳しいチェック(推奨アプリケーション以外で開かせようとする実行可能書類を
> 安全と見なさない、等)が必要な気がします。
そこは同意します。
ところで、ここで具体的な再現方法を書くべきか否かをずっと悩んでいるのですがどうするのが良いでしょうねぇ...。
未知であれば黙っているべきでしょうけど、今回のような
--
公開したとして責任を他の誰かにもかぶせるような意図はないですよ
Re:不完全? (スコア:0)
PPC と Intel 用はいつ一緒になる? (スコア:1)
カーネルのビルド番号が違うことから、OS の中身がかなり違うんだろうとは思われるので、アップデーターも共通にできないのかもしれません。でも、Combo Update みたいに単純にくっつける手もあると思いますし。
Re:PPC と Intel 用はいつ一緒になる? (スコア:1)
不便ですか??そう感じたことはないですが...。
# わかりにくいのはそうかもしれない
Re:PPC と Intel 用はいつ一緒になる? (スコア:0)
そしてそうなってしまうとよけいに分かりにくい・・・・
Re:PPC と Intel 用はいつ一緒になる? (スコア:1)
もはや Apple はナローバンドユーザーを無視しているように思えなくもないです:-)
実際には、ソフトウェアアップデートを利用すると、適切な差分 (PPC/Intel のどちらか) をダウンロードするので、単体アップデートは PPC/Mac が合体してても大丈夫だとは思います。