MOAB総括 — サード・パーティー編 47
ストーリー by yourCat
素早い対応のベンダーに好印象 部門より
素早い対応のベンダーに好印象 部門より
the Month of Apple Bugs (MOAB) の内容と対策。第3回はMac OS X上でのサード・パーティー製品の問題を取り上げる。
例によってMOABとは内容が異なる場合がある。また「怪しいファイル (リンク・メール含む) は開かない」「webブラウザーなどの、ダウンロードしたファイルを自動で開く機能を使わない」といった基本的な対策は割愛した。Mac OS X上では、いくつかの問題はMOAB Fix Groupで開発しているMOAB修正パッチ (APE用モジュール) で修正できる (現時点で最新リリース版は27-1、apeと付く方はビルド済み、svnあり)。
(つづく...)
- MOAB-07-01-2007: OmniWebのJavaScriptにフォーマット・ストリング脆弱性
対象: OmniWeb 5.5.1。以前のバージョンも影響の恐れあり。
概要: JavaScript alert() 関数にフォーマット・ストリング脆弱性があり、リモート攻撃の危険がある。
対策: 問題を修正したOmniWeb 5.5.2以降を使う (現行バージョンは5.5.4b1) - MOAB-08-01-2007 (ウザイ音声Flashあり、閲覧注意): Application Enhancer (APE) にローカル権限昇格の脆弱性
対象: APE 2.0-2.0.2
概要: APEの /Library/Frameworks パーミッション設定がセキュアではないため、ApplicationEnhancer.frameworkを書き換えることで、ローカル権限昇格してしまう危険性がある。
対策: 問題が修正されるまでAPEを使わない。または /Library/Frameworks のadminグループの権限変更や書き換え抑制など。 - MOAB-16-01-2007: Colloquyにフォーマット・ストリング脆弱性
対象: Colloquy 2.1 (3545) 以前
概要: IRCクライアント・ColloquyのINVITEハンドリングにフォーマット・ストリング脆弱性がある。
対策: 問題を修正したColloquy 2.1 (3558) 以降を使う。現行バージョンは2.1 (3574)。
- MOAB-18-01-2007: Rumpusに複数の脆弱性
対象: Rumpus 5.1以前
概要: FTPクライアント・Rumpusにヒープ・ベースのバッファー・オーバーフロー脆弱性があり、リモート攻撃の可能性がある。
対策: 問題を修正したRumpus 5.1.1以上を使う。現行バージョンは5.1.2。 - MOAB-19-01-2007: Transmitにバッファー・オーバーフロー脆弱性
対象: Transmit 3.5.5以下
概要: FTPクライアント・TransmitのSFTPハンドラにヒープ・ベースのバッファー・オーバーフロー脆弱性がある。ftps://スキームで長い文字列を渡すことで、リモート攻撃が可能になる。
対策: 問題を修正したTransmit 3.5.6以上を使う。 - MOAB-27-01-2007: Flip4Macによるメモリ破壊の脆弱性
対象: Flip4Mac Windows Media Components for QuickTime 2.x (SA23958)
概要: QuickTime用WMV互換コンポーネント・Flip4MacのIntelバイナリーに、ASF_File_Properties_Object に不正な値をセットしたASFファイルによるメモリ破壊の脆弱性。リモート攻撃の危険もある。
対策: 次のバージョンで修正されるので、それまで使用を控える。MOAB修正パッチ対応済み。
Macユーザは興味なし? (スコア:1, 興味深い)
少なすぎる気がする。
都合の悪いものは見たくないのか、それともMacユーザは
セキュリティに無関心なのか。
Re:Macユーザは興味なし? (スコア:1, すばらしい洞察)
私の場合は最終編が出てから何か書こうかと思っていたし。
とりあえず今言えるのは、Landon Fuller氏と私では
よく使うアプリやサービスが違う、というくらい。
OmniWebやVLCはインストールしてるけど、使う機会が
ないからバージョンが古いまま。←余計危ない!?
もちろんOSXにセキュリティー上の問題があることは
知ってるし、そのようなものはこれからもどんどん出て
くるだろうし、ラーメンズのCFが不適切でかつ不快に見
えるのは同意。
オチも面白くないしねー。
Re:Macユーザは興味なし? (スコア:1, 興味深い)
# うまく表現できないけど。
Re:MOABの胡散臭さ (スコア:3, 興味深い)
MOABの文章は他人を小馬鹿にしているし、ネタの水増しだし、そもそもウザイ音声FlashやヒートアップJPEG2000を埋め込んで喜ぶような方たちですからね、胡散臭く感じる人は多いでしょう。Fuller氏のインタビュー記事でもちょっと触れられていますが、MOABのLMH氏 (サングラス書けたモノクロの肖像画の人) がMOAB Fix Groupに協力を申し出たときのGroup側の一部に見られる拒絶反応 [google.com]によくあらわれています。
わたしも、記事で取り上げて、wanabe達の虚栄心を満たしてやることもないのではないかと思ったこともありましたが、Fuller氏のインタビュー記事を読んで思い直しました。
ものは考えようで、クラックされるよりは虚栄心を満たされることを望む方が余程いいです。
見返りに脆弱性が明らかになり、対策もとられつつあります。
なによりも、このことでMacコミュニティーが少しでもセキュリティーに関心を持ってくれることが大事でしょう。
Re:Macユーザは興味なし? (スコア:1)
Macユーザ (これは windows で見てるが) だけど、セキュリティには関心あるし、都合の悪いところなど別にないな。(どれも使ってない)
これにどう参加しろって言うの?(一応、Macユーザへの質問には答えたよ。質問じゃなかったかも知れんが)
無意味な悪口の応酬に参加するほどヒマでないし・・・
the.ACount
Re:Macユーザは興味なし? (スコア:0)
Re:Macユーザは興味なし? (スコア:1)
今はさすがにそんな必要が無いだけです。
あんだけ叩かれてりゃそりゃよくなりますって。
非公式パッチを作る動機 (スコア:2, 興味深い)
非公式パッチを作る動機が弱まったのではないだろうか。
終わりの見えない作業にボランティアで参加する、というのは辛いものだ。
対MOABでパッチを作る人の場合には、もともと Apple で開発をしていたので、
一般ユーザよりもよく「終わりが見えて」いるのだろう。
もちろん、OS の公開度合いが違うから外部からパッチを提供しやすいか、しにくいか、
という差もある。
Re:Macユーザは興味なし? (スコア:0)
いい加減にしろって。
それでしかごまかせないのか。
Re:Macユーザは興味なし? (スコア:0)
つまりは、無意味なフレームの元なぞ書く必要が無いって意味なのだが。
Windowsは無関係 (スコア:1, すばらしい洞察)
安全だと思い込んでることに関して、Windowsは
全く無関係です。
Windowsを生贄にすることでApple製品の不具合を
ごまかすことが多いということでは関係ありますが。
Re:Windowsは無関係 (スコア:0, フレームのもと)
他のプラットフォームのユーザとの比較は避けて通れない。
もしも避けて通れると思っているならば、その主張は傾聴には値しないだろうね。
Re:Windowsは無関係 (スコア:0)
あと基本的な論理学ぐらい理解しとけ。
Re:Windowsは無関係 (スコア:0, フレームのもと)
たとえばこの場合、「Windowsは無関係」と主張することがそれだ。
Re:Windowsは無関係 (スコア:0)
論理的な破綻無しに、「Macユーザがセキュリティに無関心なのには
Windowsが関係している」ということを主張してみれば?
>たとえばこの場合、「Windowsは無関係」と主張することがそれだ。
自分が論理的に破綻していることに気づいていない?
Macユーザがセキュリティに無関心なのをWindows/MSのせいにしたい
理由って何ですか?
Re:Windowsは無関係 (スコア:0)
>本来分からないことを分かった風に言う輩がいるから、それじゃあ最低でも周辺の事実を検証する
>必要がありますね、という話につながる必然性がある訳だ。
この文章のどこに「Macユーザがセキュリティに無関心なのは
Windowsに関連がある」という君の主張の説明が書いてありますか?
比較で言うなら、Windowsユーザは熱狂的にMSが好きというわけではなかった。
だからWindowsの脆弱性や、その対応についてMSへのクレームは手加減なしで、
無理な擁護もあまりやらなかった。
対してApple大好きM
Re:Windowsは無関係 (スコア:0, フレームのもと)
それに私はそんなことを言っていないぞ。
そもそも、「Macユーザはセキュリティに無関心である」ということを
誰も証明できていない。だれかが、「それはWindowsと無関係だ」と言ったようだが、
正しいとも言えない命題について、理由をあれこれ言うのは無意味だ。
これに代表される一連の主張には、根拠というものが示されていない。
内容の著しい偏りから察するに、職業的な嘘吐きか、あるいは妄想症状のある人物の
手に依るものという可能性を否定できない。
Re:Windowsは無関係 (スコア:0)
>>Windowsに関連がある」という君の主張の説明が書いてありますか?
>カギ括弧中の命題はもちろん正しくない。
>それに私はそんなことを言っていないぞ。
「Macユーザはセキュリティに無関心である」という話で、
「Windowsは無関係」という指摘コメントの下に、散々
「Windowsは、MSは」というコメントを書いているんだから、
言って無くても事実上、そう主張しているのと同じでしょう。
>そもそも、「Macユーザはセキュリティに無関心である」ということを
>誰も証明できていない。
セキュリティに無関心である
Re:Windowsは無関係 (スコア:0)
対してWindowsユーザの場合。
>Appleのことが大好きだから、たとえMacに脆弱性が出てもAppleに文句をいうことはあまりしない。
MSのことを別に好きじゃなくても、そもそも脆弱性がでたことに気付かないのでMSに文句を言うことはあまりしない。
>脆弱性じゃない、仕様だとアホな回答をしても、「そうだ、仕様だ」と受け取ってしまう。
脆弱性じゃない、仕様だとアホな回答をしたくても、企業ユーザに数で叩かれて「バグでした。」と言ってしまうMS。
>炎上事故が発生しても、気にしない。同じのを買う。
別にApple製品に限ったことじゃない。
FUDを流す奴は反省しろ (スコア:0)
どんな脆弱性があるのか正しい情報を書けば良いだけだ。
危険危険というだけでは根拠の無いFUDだろう。
他の環境と比べればより安全であるという事実は揺るぎない。
Re:Macユーザは興味なし? (スコア:0)
技術の問題じゃないし、田舎の一軒家なのは今も変わっていない。
Re:Macユーザは興味なし? (スコア:0)
一般人は業務を負担してくれれば良いだけだし、その程度の事であればWindowsでも何ら問題なく行い続けられていますよ。
現実的に絶滅しない以上、その大崩壊ってのも大したもんでは無いですね。
>今でも、ウィルスまみれの汚い Windows マシンを見かけると、Windows は見かけ上の秩序を回復していても「敗戦後」の状態にあることを痛感する。
そりゃあ、それが「ウイルスまみれ」だからじゃ無いかな?
ウイルスまみれでないWindowsも多いし、わざわざ汚いものを見ればそりゃあ汚いでしょう。
他人を非難するのに「奴のウンコを見たら汚いから奴は汚
sftp? ftps? MOAB-19-01-2007について (スコア:1)
MOAB-19-01-2007部分のタレコミを要約すると、「TransmitのSFTPハンドラに脆弱性があり、ftps://スキームで長い文字列を渡すと攻撃可能」と書かれていて、MOAB-19-01-2007 [info-pull.com]にもその通り書いてあります。
sftpとftpsは別のプロトコルですし、MOAB-19-01-2007で一時的な回避策として利用するRCDefaultAppでももちろん別のエントリーになっています。対策済み版というTransmit 3.5.6の変更点のページを探しましたが見つけられませんでした。アプリを落としてみましたがREADMEファイル等はなく、ヘルプにも記述が無さそうです。いったいsftpとftpsのどっちなんでしょうね。
# Transmit利用者じゃないんでどちらでも構わないんですけれど
Re:sftp? ftps? MOAB-19-01-2007について (スコア:1)
SFTPと書いてあるのは、(MOABの)単純な記述ミスかな?
日本代理店のリリースノートにも、FTPSハンドラ、と書いてある。
http://www.panic.com/jp/transmit/releasenotes.html
僕も使ってないので、関係ないのだけれども。
でも、日本代理店のページみてたら、ちょっと欲しくなった…
ftpsのようですね MOAB-19-01-2007について (スコア:1)
書いてくださったリリースノートURLの途中を削ったら英語版 [panic.com]が出てきました。sftpというのは誤記のようですね。MOABでは触れられていないftpハンドラーにも脆弱性があって、ついでに直したってことかな。
# 多機能そうですけれど、いるかどうかは別問題っと。OmniWeb (スコア:0)
NeXTで使っていた頃はバージョン1と2でしたが、1の頃は背景画像や文字色の表示にも対応しておらず苦労した懐かしい思い出があります。それがバージョンも5になり、タブブラウザ機能も内蔵して、脆弱性の指摘もしてもらえるくらいに有名(?)に……
知らない間に随分立派に成長していたんだなとちょっと感慨深いです。
Re:CM (スコア:1, 興味深い)
Re:CM (スコア:0)
セキュリティとかどうでも良いんだと思いますよ。
実用性とか堅牢性とか興味がないだろうし。
Re:CM (スコア:0)
iPodとの扱われ方の差をみると、もうMacに力入れてないんだろうとはおもうけど。
Re:CM (スコア:0)
「狙われない」からね。
Re:CM (スコア:0)
Re:CM (スコア:1, 興味深い)
ただ、昔からのユーザーってツールとして使っている人が多く思える。
故に、自己の作業に関わるもの以外は関係ないし問題も起こり辛い。
#Windowsでも特定業務端末で問題が出るのが少ないのと同様。が、Macの場合は使用環境がもちっと個人に近い感じ。
それとは異なり、この頃増えて来たのはMacで全部何でもって層。
こっちはトラブル可能性が多いけど、まあ、多分そういう人はトラぶったらトラぶったで「そういうもの」として暫く投げておくんだろ。
少なくとも、仕事に絡んで来るような作業となると、態々Macを選ばないでしょうし、それが致命的な業務なら尚更、仕事場と異なる環境ってのも有り得ないだろうし。
って事で、Macの方が個人の受けるキズが大きくなる事は少ないってのは有るかも。
#実は自分の我慢強さや諦観なんてのはApple社に鍛えられたのかも知れないよなぁ。
Re:CM (スコア:0)
>ものではないことを知ってる人は多いが、
一体どうしてだろう?
使ってないのにMac用ウィルスにでも感染したの?
「Macを使っていない人はどうせWindowsと同じだと思い込みたいが、
Macを使っている人、または両方使っている人は経験上Windowsの方
が危険と知っている人ばっかり」
が正解なんじゃないの?
Re:CM (スコア:0)
不思議ですよねw
Mac使っててもWin向けワーム/ウィルス付きスパムがたくさん届くから、Win使う人は
大変だなーとわかるけど、その逆があるとは不思議。
ルータやサーバのログ見てもWindows/MS系向けのアタックのログが大量に出てくるから
Win使って無くても感染者(WinPC)もいっぱいいるなとわかる。
IPAとかの緊急対
Re:CM (スコア:0)
Re:ひどすぎる (スコア:0)
>これではWindowsを批判できないだろう
おまえはAppleすら批判できないなw
Re:ひどすぎる (スコア:0)
まあ、Windowsの批判でも実はサードパーティーのドライバが問題ってのも多いけど、ワザワザ間違えている奴の真似せんで宜しい。