Mac OSのゼロデイ脆弱性に対する攻撃コードが公開に

文:Elinor Mills(CNET News.com) 翻訳校正:編集部2006年11月22日 10時54分

 「Month of Kernel Bugs」キャンペーンの一環として最近発表された、いまだパッチが公開されていない「Mac OS X」の脆弱性に関して、セキュリティ研究者が攻撃コードを公にした。

 研究者は米国時間11月20日、このコンセプト実証コードは、Apple ComputerのOSがディスクイメージ(DMG)ファイルを処理する方法に存在する脆弱性を悪用すると、キャンペーンのブログに記した。同キャンペーンは、ローレベルのソフトウェアで見つかった新たな脆弱性の詳細を、11月中毎日公開していくというもの。

 「LMH」というイニシャルを使うこの研究者は、「Mac OS Xのcom.apple.AppleDiskImageControllerが、破損したDMGのイメージ構造を適切に処理できないため、悪用可能なメモリ破損エラーが生じ、特権を持たないユーザーによってカーネルモードで任意のコードを実行されるおそれがある」と書いている。

 この脆弱性は、Appleの「Safari」ウェブブラウザが、あるURLを閲覧中に外部ソースからDMGファイルを読み込む際に、リモートで悪用される恐れがあるとLMHと名乗る人物は説明した。これにより、部外者がシステムを操ることも可能になる。

 Secuniaは米国時間11月21日、同脆弱性を「きわめて深刻(highly critical)」と認定する勧告をウェブサイトに掲載した。コンピュータに影響を与えるばかりでなく、悪質なローカルユーザーがシステム権限を昇格させるためにこれを悪用する場合もあると、Secuniaは述べている。

 Appleの関係者は、この件に対するコメントを拒否した。

 LMHと名乗る人物は前述のブログに、「『Preferences』を変更し、ダウンロード後に『安全な』ファイルを開く機能を無効化する」ことで、攻撃を回避できると記している。

 Mac OS上で発見される脆弱性は増加しており、AppleのOSは安全だという定説に疑問を呈する向きも現れ始めている。これまでに報告されているセキュリティ脆弱性の大半はMicrosoft Windowsを稼働するマシンに影響を与えるものだった。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]