Security Update 2006-001リリース

Security Update 2006-001リリース 15

ストーリー by Acanthopanax 2006年03月02日 8時20分
忘れずアップデート部門より

Appleから、Mac OS X向けにSecurity Update 2006-001がリリースされた。10.3.9クライアント用、10.3.9サーバ用、10.4.5 PPC用、10.4.5 Intelクライアント用のそれぞれが用意されている。ソフトウェア・アップデートからもアップデート可能。Leap.Aへの対応や、スクリプト自動実行脆弱性への修正も含まれる。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索15コメント Log In/Create an Account

Front Row (スコア:2, 参考になる)

by flutist (16098) on 2006年03月02日 10時44分 (#892669)

いまソフトウェア・アップデートしてみると、iTunesとiPhotoもアップデート対象で出てきました。どっちもFront Rowでの安定性を改善する、とのことです。

ちなみにセキュリティ・アップデートの対象は以下。要再起動。Safariの脆弱性が改善されたのは重要ですね。それぞれ対応された脆弱性のリストはこちら [apple.com]。
apache_mod_php
automount
Bom
Directory Services
iChat
IPSec
LaunchServices
LibSystem
loginwindow
Mail
rsync
Safari
Syndication
- Re:Front Row (スコア:1)
  
  by targz (14071) on 2006年03月02日 22時42分 (#893037) 日記
  
  そのまま Front Row 1.2.1 [apple.com] というアップデーターもあるようです。
  
  うちには IR レシーバー搭載 Mac がないので、ソフトウェアアップデートでは出てきませんでした。
  
  シェア
  
  親コメント
不完全? (スコア:1)

by docile-jp (16652) on 2006年03月02日 12時16分 (#892716) 日記

適用したんですが、ターミナルに関連づけした書類の zip アーカイブ(自分で実験用に作ったやつ)をSafari でダウンロードしてみたらそのまま実行されるケースが…。
- Re:不完全? (スコア:2, 参考になる)
  
  by Acanthopanax (5019) <reversethis-{moc.cam} {ta} {xanapordned}> on 2006年03月02日 21時26分 (#893009) ホームページ日記
  
  ターミナル書類でも、.jpgや.movという拡張子をつけるとやはりJPEGやmovのアイコンで表示されます。まあ、カスタムアイコンという手段もありますし、もともとアイコンは信用できないのですが。
  
  シェア
  
  親コメント
- Re:不完全? (スコア:0)
  
  by Anonymous Coward
  
  ん？なんかそれ間違ってない？
  
  zipをターミナルに関連付けたらそうなるのは当たり前の気がするが…
  - Re:不完全? (スコア:1)
    
    by docile-jp (16652) on 2006年03月02日 13時29分 (#892779) 日記
    
    いや、zip がターミナルに関連づけられているのではなくて、「ターミナルに関連づけした拡張子 .mov の、実行属性付き書類」の Zip アーカイブ。
    
    --
    とりあえず feedback はしてみた
    
    シェア
    
    親コメント
    - Re:不完全? (スコア:2, 興味深い)
      
      by elsee9 (15678) on 2006年03月04日 0時49分 (#894246) 日記
      
      同じような実験をしてみました。
      中身が
      #!/bin/sh echo "hello :-)"
      のみのtest.movにchmod +xして、FinderでTerminal.app書類に
      してからzipアーカイブ作成。これを「安全なファイルを開く」Safariで
      落としたら、
      "test.mov.sh"はアプリケーションです。
      アプリケーション"test.mov.sh"をダウンロードしてもよろしいですか？
      
      (キャンセル) (ダウンロード)
      というシートが出ました。（何故か.shが付いている）
      キャンセルを押すとディスク上に保存されず、ダウンロードを押すと
      test.zipを解凍したtest.movがディスク上に保存されました。
      自動実行はされませんでした。
      
      というわけで一応対策されているように思いますが、どのような
      方法でzipアーカイブを作成されたのでしょうか？
      
      シェア
      
      親コメント
      - Re:不完全? (スコア:1)
        
        by docile-jp (16652) on 2006年03月04日 2時23分 (#894295) 日記
        
        ええと、そのケースでは、アップデート適用以前から自動実行は起こらないはずです。今回の件では、１行目のソレは要らないのですわ。
        また、アップデート適用後は、すでに公開されている実証コードをダウンロードしても自動実行されないことも確認済みです。
        
        で、
        | どのような方法でzipアーカイブを作成されたのでしょうか？
        違うのはスクリプトの中身です。Zip アーカイブを作るところとかの手順は（たぶん）同じ。
        
        --
        そこに書かれている「中身」をちょいと変えると再現できると思います
        
        シェア
        
        親コメント
        
        Re:不完全? (スコア:1)
        
        by elsee9 (15678) on 2006年03月04日 3時39分 (#894336) 日記
        
        #894279のAC氏共々、ご指摘&解説ありがとうございます。
        
        先ほどのtest.movのshebangを削ってみたところ、表示される
        シートの内容は若干違いましたが、やはり自動実行されませんでした。
        （中身によるのかも知れませんね）
        
        しかし、中身を見るにも限界がある気がするので、やはり属性による
        厳しいチェック（推奨アプリケーション以外で開かせようとする実行可能書類を
        安全と見なさない、等）が必要な気がします。
        
        シェア
        
        親コメント
        
        Re:不完全? (スコア:3, 興味深い)
        
        by docile-jp (16652) on 2006年03月04日 20時55分 (#894813) 日記
        
        > 中身を見るにも限界がある気がするので、やはり属性による
        > 厳しいチェック（推奨アプリケーション以外で開かせようとする実行可能書類を
        > 安全と見なさない、等）が必要な気がします。
        そこは同意します。
        
        ところで、ここで具体的な再現方法を書くべきか否かをずっと悩んでいるのですがどうするのが良いでしょうねぇ...。
        未知であれば黙っているべきでしょうけど、今回のような
        
        基本的な方法は既知である
        既存のデモプログラムで試す限りでは対策されている
        わずかな変更で網の目を抜けることができる
        という状態の時に。
        
        --
        公開したとして責任を他の誰かにもかぶせるような意図はないですよ
        
        シェア
        
        親コメント
      - Re:不完全? (スコア:0)
        
        by Anonymous Coward
        
        shebang行、取っとかないと。
PPC と Intel 用はいつ一緒になる? (スコア:1)

by targz (14071) on 2006年03月04日 9時43分 (#894424) 日記

Mac OS X 10.4.5 Update [srad.jp] もそうでしたが、PPC 用と Intel 用が別なのは分かりにくい、かつ不便ですよね。ユーザーとしては共通にしてほしいですが、10.5 が出るまで無理なのかな?

カーネルのビルド番号が違うことから、OS の中身がかなり違うんだろうとは思われるので、アップデーターも共通にできないのかもしれません。でも、Combo Update みたいに単純にくっつける手もあると思いますし。
- Re:PPC と Intel 用はいつ一緒になる? (スコア:1)
  
  by docile-jp (16652) on 2006年03月04日 12時57分 (#894544) 日記
  
  | 別なのは分かりにくい、かつ不便
  
  不便ですか??そう感じたことはないですが...。
  # わかりにくいのはそうかもしれない
  
  シェア
  
  親コメント
- Re:PPC と Intel 用はいつ一緒になる? (スコア:0)
  
  by Anonymous Coward
  
  共通版のアップデータを出しても、ナローバンドユーザのためにPPC版、Intel版は残す必要が有ると思います。
  そしてそうなってしまうとよけいに分かりにくい・・・・
  - Re:PPC と Intel 用はいつ一緒になる? (スコア:1)
    
    by targz (14071) on 2006年03月06日 16時31分 (#895837) 日記
    
    ＞共通版のアップデータを出しても、ナローバンドユーザのためにPPC版、Intel版は残す必要が有ると思います。
    
    もはや Apple はナローバンドユーザーを無視しているように思えなくもないです:-)
    
    実際には、ソフトウェアアップデートを利用すると、適切な差分 (PPC/Intel のどちらか) をダウンロードするので、単体アップデートは PPC/Mac が合体してても大丈夫だとは思います。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Security Update 2006-001リリース 15

Security Update 2006-001リリース More ログイン

Front Row (スコア:2, 参考になる)

Re:Front Row (スコア:1)

不完全? (スコア:1)

Re:不完全? (スコア:2, 参考になる)

Re:不完全? (スコア:0)

Re:不完全? (スコア:1)

Re:不完全? (スコア:2, 興味深い)

Re:不完全? (スコア:1)

Re:不完全? (スコア:1)

Re:不完全? (スコア:3, 興味深い)

Re:不完全? (スコア:0)

PPC と Intel 用はいつ一緒になる? (スコア:1)

Re:PPC と Intel 用はいつ一緒になる? (スコア:1)

Re:PPC と Intel 用はいつ一緒になる? (スコア:0)

Re:PPC と Intel 用はいつ一緒になる? (スコア:1)

スラド