yourCatによる
2007年02月15日 6時00分の掲載
素早い対応のベンダーに好印象部門より。
素早い対応のベンダーに好印象部門より。
the Month of Apple Bugs (MOAB) の内容と対策。第3回はMac OS X上でのサード・パーティー製品の問題を取り上げる。
例によってMOABとは内容が異なる場合がある。また「怪しいファイル (リンク・メール含む) は開かない」「webブラウザーなどの、ダウンロードしたファイルを自動で開く機能を使わない」といった基本的な対策は割愛した。Mac OS X上では、いくつかの問題はMOAB Fix Groupで開発しているMOAB修正パッチ (APE用モジュール) で修正できる (現時点で最新リリース版は27-1、apeと付く方はビルド済み、svnあり)。
(つづく...)
- MOAB-07-01-2007: OmniWebのJavaScriptにフォーマット・ストリング脆弱性
対象: OmniWeb 5.5.1。以前のバージョンも影響の恐れあり。
概要: JavaScript alert() 関数にフォーマット・ストリング脆弱性があり、リモート攻撃の危険がある。
対策: 問題を修正したOmniWeb 5.5.2以降を使う (現行バージョンは5.5.4b1) - MOAB-08-01-2007 (ウザイ音声Flashあり、閲覧注意): Application Enhancer (APE) にローカル権限昇格の脆弱性
対象: APE 2.0-2.0.2
概要: APEの /Library/Frameworks パーミッション設定がセキュアではないため、ApplicationEnhancer.frameworkを書き換えることで、ローカル権限昇格してしまう危険性がある。
対策: 問題が修正されるまでAPEを使わない。または /Library/Frameworks のadminグループの権限変更や書き換え抑制など。 - MOAB-16-01-2007: Colloquyにフォーマット・ストリング脆弱性
対象: Colloquy 2.1 (3545) 以前
概要: IRCクライアント・ColloquyのINVITEハンドリングにフォーマット・ストリング脆弱性がある。
対策: 問題を修正したColloquy 2.1 (3558) 以降を使う。現行バージョンは2.1 (3574)。
- MOAB-18-01-2007: Rumpusに複数の脆弱性
対象: Rumpus 5.1以前
概要: FTPクライアント・Rumpusにヒープ・ベースのバッファー・オーバーフロー脆弱性があり、リモート攻撃の可能性がある。
対策: 問題を修正したRumpus 5.1.1以上を使う。現行バージョンは5.1.2。 - MOAB-19-01-2007: Transmitにバッファー・オーバーフロー脆弱性
対象: Transmit 3.5.5以下
概要: FTPクライアント・TransmitのSFTPハンドラにヒープ・ベースのバッファー・オーバーフロー脆弱性がある。ftps://スキームで長い文字列を渡すことで、リモート攻撃が可能になる。
対策: 問題を修正したTransmit 3.5.6以上を使う。 - MOAB-27-01-2007: Flip4Macによるメモリ破壊の脆弱性
対象: Flip4Mac Windows Media Components for QuickTime 2.x (SA23958)
概要: QuickTime用WMV互換コンポーネント・Flip4MacのIntelバイナリーに、ASF_File_Properties_Object に不正な値をセットしたASFファイルによるメモリ破壊の脆弱性。リモート攻撃の危険もある。
対策: 次のバージョンで修正されるので、それまで使用を控える。MOAB修正パッチ対応済み。
関連ストーリー
MOAB総括 — Mac OS X非依存編 18 コメント
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
Macユーザは興味なし? (スコア:1, 興味深い)
少なすぎる気がする。
都合の悪いものは見たくないのか、それともMacユーザは
セキュリティに無関心なのか。
Re:MOABの胡散臭さ (スコア:3, 興味深い)
MOABの文章は他人を小馬鹿にしているし、ネタの水増しだし、そもそもウザイ音声FlashやヒートアップJPEG2000を埋め込んで喜ぶような方たちですからね、胡散臭く感じる人は多いでしょう。Fuller氏のインタビュー記事でもちょっと触れられていますが、MOABのLMH氏 (サングラス書けたモノクロの肖像画の人) がMOAB Fix Groupに協力を申し出たときのGroup側の一部に見られる拒絶反応 [google.com]によくあらわれています。
わたしも、記事で取り上げて、wanabe達の虚栄心を満たしてやることもないのではないかと思ったこともありましたが、Fuller氏のインタビュー記事を読んで思い直しました。
ものは考えようで、クラックされるよりは虚栄心を満たされることを望む方が余程いいです。
見返りに脆弱性が明らかになり、対策もとられつつあります。
なによりも、このことでMacコミュニティーが少しでもセキュリティーに関心を持ってくれることが大事でしょう。
親コメント
非公式パッチを作る動機 (スコア:2, 興味深い)
非公式パッチを作る動機が弱まったのではないだろうか。
終わりの見えない作業にボランティアで参加する、というのは辛いものだ。
対MOABでパッチを作る人の場合には、もともと Apple で開発をしていたので、
一般ユーザよりもよく「終わりが見えて」いるのだろう。
もちろん、OS の公開度合いが違うから外部からパッチを提供しやすいか、しにくいか、
という差もある。
親コメント
sftp? ftps? MOAB-19-01-2007について (スコア:1)
MOAB-19-01-2007部分のタレコミを要約すると、「TransmitのSFTPハンドラに脆弱性があり、ftps://スキームで長い文字列を渡すと攻撃可能」と書かれていて、MOAB-19-01-2007 [info-pull.com]にもその通り書いてあります。
sftpとftpsは別のプロトコルですし、MOAB-19-01-2007で一時的な回避策として利用するRCDefaultAppでももちろん別のエントリーになっています。対策済み版というTransmit 3.5.6の変更点のページを探しましたが見つけられませんでした。アプリを落としてみましたがREADMEファイル等はなく、ヘルプにも記述が無さそうです。いったいsftpとftpsのどっちなんでしょうね。
# Transmit利用者じゃないんでどちらでも構わないんですけれど
Re:CM (スコア:1, 興味深い)
親コメント
Re:CM (スコア:1, 興味深い)
ただ、昔からのユーザーってツールとして使っている人が多く思える。
故に、自己の作業に関わるもの以外は関係ないし問題も起こり辛い。
#Windowsでも特定業務端末で問題が出るのが少ないのと同様。が、Macの場合は使用環境がもちっと個人に近い感じ。
それとは異なり、この頃増えて来たのはMacで全部何でもって層。
こっちはトラブル可能性が多いけど、まあ、多分そういう人はトラぶったらトラぶったで「そういうもの」として暫く投げておくんだろ。
少なくとも、仕事に絡んで来るような作業となると、態々Macを選ばないでしょうし、それが致命的な業務なら尚更、仕事場と異なる環境ってのも有り得ないだろうし。
って事で、Macの方が個人の受けるキズが大きくなる事は少ないってのは有るかも。
#実は自分の我慢強さや諦観なんてのはApple社に鍛えられたのかも知れないよなぁ。
親コメント