アップル10月のアップデートでXML、PHP、PDF問題を修正 2008年10月9日
アップル10月のアップデートでXML、PHP、PDF問題を修正
OS Xセキュリティ・アップデートが40件の問題を修正
危険度:高
2008年10月9日
【概要】
対象:
OS X 10.4.x (Tiger)とOS X 10.5.x (Leopard)のクライアントとサーバ
攻撃方法:
悪性のウェブサイトにユーザを誘導し悪質な文書をダウンロードさせたり、悪質なRSSフィードをユーザに受信させるなど、様々な攻撃方法がある。
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる。
対策:
OS Xの管理者は、セキュリティ・アップデート2008-007をダウンロードし、それをテストしてからインストールすること。
【詳細】
米国時間の10月9日、アップルはOS Xの脆弱性を修正するセキュリティ・アップデートをリリースした。このアップデートは、FinderやColorSync、PostScriptインタプリタなどOS Xの一部として搭載されている様々なソフトウェア・パッケージに見られる問題40件を修正している(注:この数字はCVE-IDによるもの)。脆弱性の中には、攻撃者が被害者のOS Xコンピュータでコードを実行できるようにしてしまうものもあるため、ウォッチガード・ライブセキュリティでは、この問題を重大レベルとみなし、ユーザにはできる限り早急にアップデートを導入することをすすめている。ビジネスに影響する傾向がある修正済み脆弱性3件は次の通り:
注意:
使用しているOS Xに対応するパッチがどれか定かではない場合は、状況に適したアップデートを自動的に見つけることができるOS Xのソフトウェア・アップデート機能を使うことをすすめる。
全ユーザ:
こうした欠陥は様々な悪用方法を有効にする。悪用の中にはペリミター・ファイアウォールが攻撃にかかわることのないローカルのものもあるため(内部におい て部署間にファイアウォールを設置している場合は別)、アップデートをインストールすることがもっとも安全な対策である。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
アップルのOS Xアドバイザリー:10月分
この記事はD.スコット・ピンゾン(D.Scott Pinzon, CISSP)によって調査され書かれた記事です。
OS Xセキュリティ・アップデートが40件の問題を修正
危険度:高
2008年10月9日
【概要】
対象:
OS X 10.4.x (Tiger)とOS X 10.5.x (Leopard)のクライアントとサーバ
攻撃方法:
悪性のウェブサイトにユーザを誘導し悪質な文書をダウンロードさせたり、悪質なRSSフィードをユーザに受信させるなど、様々な攻撃方法がある。
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる。
対策:
OS Xの管理者は、セキュリティ・アップデート2008-007をダウンロードし、それをテストしてからインストールすること。
【詳細】
米国時間の10月9日、アップルはOS Xの脆弱性を修正するセキュリティ・アップデートをリリースした。このアップデートは、FinderやColorSync、PostScriptインタプリタなどOS Xの一部として搭載されている様々なソフトウェア・パッケージに見られる問題40件を修正している(注:この数字はCVE-IDによるもの)。脆弱性の中には、攻撃者が被害者のOS Xコンピュータでコードを実行できるようにしてしまうものもあるため、ウォッチガード・ライブセキュリティでは、この問題を重大レベルとみなし、ユーザにはできる限り早急にアップデートを導入することをすすめている。ビジネスに影響する傾向がある修正済み脆弱性3件は次の通り:
- PHP問題(3)
ユーザやデータベースのインプットを受け入れる動的なウェブページの作成において、HTMLとうまく機能するスクリプト言語のPHPは、何百万ものウェブサイトによって用いられている。ところが、このPHPはバッファ・オーバーフローやその他いくつかの問題の影響を受けている。攻撃者は悪性のウェブサイトにユーザーを誘導し、欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。 -
レンダリングしているカラー・グラフィックスのバッファ・オーバーフロー問題
ColorSync はICCプロファイルが埋め込まれているグラフィック・イメージをOS Xが処理する場合に役立つコンポーネントだ。デジタルカメラで写真を撮り後でその写真を印刷したカタログに使うことになった場合、ICCプロファイルには、ColorSyncがそのカメラのRGBカラーからプリンタが解釈できるCMYKカラーに変換するために使うデータが含まれている。しかし、ICCプロファイルが埋め込まれているイメージをColorSyncが処理する方法にはバッファ・オーバーフロー問題があり、その対象にはPICT、PDF、PostScriptファイルなど様々なイメージがある。被害者が悪性のカラー・イメージを開くように誘導し、それに成功した場合、攻撃者は欠陥を悪用して被害者のコンピュータで攻撃用コードを実行する。また、アップルのアドバイザリはOS XがPostScriptファイルをレンダーする方法に見られるバッファ・オーバーフローについても取り上げている。 -
レンダリングしているXMLドキュメントのヒープ・バッファ・オーバーフロー問題
比較的読みやすいプログラミング言語のXMLは、インターネットで広く使用されており、ベクトル・ベースのグラフィックからRSSニュース・フィードまでと、その範囲は幅広い。OS XがXMLをレンダーする方法に見られる欠陥は、攻撃者が悪性のHTMLページを作成できるようにする可能性があり、そのページに被害者を誘導することに成功した攻撃者は、この欠陥を悪用してユーザのコンピュータでコードを実行できるようになることもあるほか、場合によっては攻撃者がそのコンピュータを操作できるようになる場合もある。
アップルのアラートは、上記した問題の他にもコード実行問題、DoS攻撃の問題、権限昇格の問題、クラッシュ脆弱性など、様々な欠陥を対象としているほか、パフォーマンス問題もいくつか修正している。脆弱性の中にはOS Xサーバのみを対象とするものもある。
このセキュリティ・アップデートでパッチされているコンポーネント:Apache
ClamAV
CUPS
Finder
launchd
MySQL Server
Postfix
QuickLook
rlogin
Script Editor
Tomcat
Weblog
詳細については、アップルのOS X アラートを参照すること。
【対策】
アップルはこうしたセキュリティ問題を修正するOS X Security Update 2008-007をリリースしている。OS Xの管理者は、できる限り早急に状況に適したパッチをダウンロードし、テストしてから導入すること。
日本語版対応:
- セキュリティ・アップデート 2008-2007(PPC)
- セキュリティ・アップデート 2008-2007(Intel)
- セキュリティ・アップデート 2008-2007 (Leopard)
- セキュリティ・アップデート 2008-2007Server (PPC)
- セキュリティ・アップデート 2008-2007Server (Leopard)
- セキュリティ・アップデート 2008-2007Server (Universal)
注意:
使用しているOS Xに対応するパッチがどれか定かではない場合は、状況に適したアップデートを自動的に見つけることができるOS Xのソフトウェア・アップデート機能を使うことをすすめる。
全ユーザ:
こうした欠陥は様々な悪用方法を有効にする。悪用の中にはペリミター・ファイアウォールが攻撃にかかわることのないローカルのものもあるため(内部におい て部署間にファイアウォールを設置している場合は別)、アップデートをインストールすることがもっとも安全な対策である。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
アップルのOS Xアドバイザリー:10月分
この記事はD.スコット・ピンゾン(D.Scott Pinzon, CISSP)によって調査され書かれた記事です。