CNET Japan

最終更新時刻:2009年11月27日(金) 20時14分
CNET Japanからのお知らせ
ついに発売「Windows 7」のチカラ
誰にでもわかる「Chrome OS」
ビジネスに効くTwitterの可能性
「CNET Japanモバイル版β」登場
トップ  »  ブログ  »  Mac OS X Trend Informations  »  Mac OS Xに発覚した新たなセキュリティホール
Mac OS X Trend Informations
-

Mac OS Xに発覚した新たなセキュリティホール

公開日時:
2006/04/26 03:28
著者:
Flipper

ブックマーク(-)

先週末から今週始めにかけて、米SANS Institute等によってMac OS Xに関する新たなセキュリティーホールの存在が指摘されています。Appleサイドでも既に調査を進めている今回のセキュリティホールに関して、現段階で明らかになっている事は、

ファイル圧縮・展開ツール「BOMArchiveHelper」

細工が施されたZIPファイルを「BOMArchiveHelper」で展開しようとする際に、ファイルに仕込まれた任意のプログラムが実行される可能性がある。尚、BOMArchiveHelper(/System/Library/CoreServices/BOMArchiveHelper.app)は、Mac OS X 10.3 Pantherよりサポートされたフェイスレスなアプリケーションの一種で、システムレベルでの圧縮/解凍を実現している。その実体はUNIXコマンドである「ditto」をGUIレベルに拡張したもので、「Finder」における「ファイル」> 「アーカイブを作成」には、この「BOMArchiveHelper」が利用されている(コンテキストメニュー等からも呼び出し可能)。

Webブラウザ「Safari」におけるHTMLタグの処理

「KWQListIteratorImpl()」「drawText()」「objc_msgSend_rtp()」等の関数が不正なHTMLタグが埋め込まれたHTMLファイル等を「Safari」で開こうとする際に、ファイルに仕込まれた任意のプログラムが実行される可能性がある。

BMP、GIF、TIFF、各々の画像ファイルの処理

細工が施された画像ファイルを、Mac OS Xで動作するアプリケーション(Safari等)で開こうとする際に、ファイルに仕込まれた任意のプログラムが実行される可能性がある。細工が施された画像がWebページに存在する場合には、そのページにアクセスしただけで被害に遭う可能性もある。

といった事等が指摘されており、既に検証用コードも公開されているとの事。SecuniaやFrSIRT等によると、今回のセキュリティホールは、「Mac OS X 10.4.6、及びそれ以前のバージョン」或いは「Mac OS X Server 10.4.6、及びそれ以前のバージョン」が影響を受ける可能性があるとされており、サービス拒否(DoS)攻撃コマンド実行の危険性等も懸念されています。尚、現時点で修正パッチは未公開となっており、具体的な回避策も公表されていないため、

  • 信頼できないWebサイトにはアクセスしない
  • 信頼できないZIPファイルや画像ファイルは開かない

といったセキュリティに関する基本指針の遵守が呼びかけられています。今のところエクスプロイトコードの存在は確認されておらず、近日中におけるセキュリティアップデートのリリースも示唆されているようですが、前述のFrSIRTには危険度を「重大」と設定される等、深刻な影響が懸念される今回のセキュリティホールだけに、一刻も早い対応が望まれるところでしょう。

尚、「BOMArchiveHelper」に関する脆弱性は、そのガイドラインがある程度明確なだけに、ユーザの危機意識次第である程度は抑止可能となるでしょう。一部のメディアにおいて、セキュリティパッチのリリース前に脆弱性を公開する事の如何が議論されていましたが、リスク管理の共有という観点においては事前の情報公開は正しい判断ではないかと考えています。

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。

ログインしてコメントする このエントリを評価する
運営事務局に問題を報告 この記事についてブログを書く(ブロガー専用)

前後の記事

トップ  »  ブログ  »  Mac OS X Trend Informations  »  Mac OS Xに発覚した新たなセキュリティホール

注目トピックス From ZDNet Japan

クローズアップ

[PR]

企画特集

CNET どっち?

新型PlayStation 3

PSP go

業界キーパーソンが最新トピックを斬る!
CNET Japan オンラインパネルディスカッション

スパコン世界一目指すべき? 事業仕分けを考える

回答
クロサカタツヤさん

やるなら世界一を目指すべきだし、目指さないならやるべきじゃない、と思って...

新着企業動向

リリース

イベント

企業ブログ

製品

このブログについて

ブロガープロフィール

アーカイブ

«
2009年11月
1234567
891011121314
15161718192021
22232425262728
2930     

カテゴリ

アルファブログ

みんなのお題

みんなのお題では、ブロガー同士で質問を出し合いそれに対する回答や意見を集めています。今日はどんな話題が盛り上がっているでしょう?

新着コメント

ブログネットワークとは?

CNET Japan ブログネットワークは、元はCNET Japanの一読者であった読者ブロガーと、編集部の依頼により執筆されているアルファブロガーたちが、ブログを通じてオンタイムに批評や意見を発信する場である「オピニオンプレイス」、また、オピニオンを交換するブロガーたちが集うソサエティです。

広い視野と鋭い目を持ったブロガーたちが、今日のIT業界や製品に対するビジョンや見解について日々熱く語っています。

あなたもブログを書いてみませんか?

CNET Japanやその他サイトが提供するITニュースやコンテンツへの意見や分析、ビジネスやテクノロジーに対するビジョンや見解について語っていただける方を募集しています。ご応募はこちらから

ブログの投稿・管理

ブログの投稿はこちらから(※ブロガー専用)

αマークって?

これは、CNET Japan 編集部の依頼に基づいて執筆されているCNET Japan アルファブロガーであることを示す印です。

Good!って?

CNET Japan ブログネットワーク内で拍手の代わりに使用する機能です。ブログを読んで、感激した・役に立ったなど、うれしいと思ったときにクリックしてください。多くGood!を獲得した記事は、より多くの人に読まれるように表示されます。

CNET Japan ブログ

製品ランキング

デスクトップパソコン

データ協力 : GfK Marketing Services Japan

ブロガーみんなで回答中

CNET_ID

メンバー限定サービスをご利用いただく場合、このページの上部からログイン、またはCNET_ID登録(無料)をしてください。

» CNET_IDパスワードの確認

話題のタグ:  iPod |  Twitter |  mixiアプリ |  買収 |  iPhone |  グーグル |  マイクロソフト |  アップル |  Windows 7 |  Google Voice |  PlayStation 3 | 

The Japanese edition of 'CNET' is published under license from CBS Interactive, Inc., San Francisco, CA, USA. Editorial items appearing in 'CNET Japan' that were originally published in the US Edition of 'CNET', 'ZDNet', 'TechRepublic', 'GameSpot' and 'CNET News.com' are the copyright properties of CBS Interactive, Inc. or its suppliers.
Copyright © 2000-2009 CBS Interactive, Inc. All Rights Reserved. 'CNET', 'ZDNet' 'GameSpot' and 'CNET News.com' are trademarks of CBS Interactive, Inc.

 | 個人情報保護方針  | 利用規約  | 訂正  | 広告について  | 朝日インタラクティブについて  | 

Copyright  © 2009 ASAHI INTERACTIVE, Inc. All rights reserved. No reproduction or republication without written permission.