アップル12月のアップデート:OS Xセキュリティ・アップデート、12件の問題を修正 2008年12月15日
アップル12月のアップデート:
OS Xセキュリティ・アップデート、12件の問題を修正
危険度:高
2008年12月15日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
有害なウェブサイトにユーザを誘導したり悪質なイメージを閲覧させるなど、様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はOS X 10.5.6またはセキュリティ・アップデート2008-008をダウンロードし、テストしてからインストールすること
【詳細】
米国時間の12月15日、アップルはOS Xの脆弱性を修正するセキュリティ・アップデートをリリースした。このアップデートはCoreGraphics、Apple Type Services (ATS)、カーネルなど、OS Xの一部として搭載されている様々なソフトウェア・パッケージに見られるセキュリティ問題21件を修正している(数字はCVE-IDの情報による)。脆弱性の中には、ユーザのOS Xで攻撃者がコードを実行できるように許可してしまうものもあるため、ライブセキュリティではこのアップデートを重要と評価している。できる限り早急にアップデートをインストールすることをすすめる。
中でも特に悪質な脆弱性は:
アップルのアラートは、先に説明した他にもコード実行の欠陥など、この他いくつもの欠陥について説明している。残りの脆弱性はサービス拒否(DoS)問題、権限昇格の問題、クラッシュ脆弱性などがある。
このセキュリティ・アップデートで修正されたコンポーネントは次の通り:
詳細についてはアップルのOS Xアラートを参照。
【対策】
アップルはセキュリティ問題を修正するOS X 10.5.6アップデートとSecurity Update 2008-008をリリースしている。OS X管理者はアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
日本語版対応:
使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
アップルのOS X アドバイザリ(12月分)
Mac OS X: ソフトウェアをアップデートする方法
サポートダウンロード先
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
OS Xセキュリティ・アップデート、12件の問題を修正
危険度:高
2008年12月15日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
有害なウェブサイトにユーザを誘導したり悪質なイメージを閲覧させるなど、様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はOS X 10.5.6またはセキュリティ・アップデート2008-008をダウンロードし、テストしてからインストールすること
【詳細】
米国時間の12月15日、アップルはOS Xの脆弱性を修正するセキュリティ・アップデートをリリースした。このアップデートはCoreGraphics、Apple Type Services (ATS)、カーネルなど、OS Xの一部として搭載されている様々なソフトウェア・パッケージに見られるセキュリティ問題21件を修正している(数字はCVE-IDの情報による)。脆弱性の中には、ユーザのOS Xで攻撃者がコードを実行できるように許可してしまうものもあるため、ライブセキュリティではこのアップデートを重要と評価している。できる限り早急にアップデートをインストールすることをすすめる。
中でも特に悪質な脆弱性は:
- CoreGraphicsのヒープ・バッファ・オーバーフロー
CoreGraphicsは画像をディスプレイ(またはプリンタ)に出力するために使用するOS Xのコンポーネントだが、色空間処理に関与するヒープバッファ・オーバーフローの影響を受けている。攻撃者は細工した画像を有害なウェブサイトでホストさせるなどして、被害者にそれを閲覧させることで欠陥を悪用し、被害者のコンピュータで攻撃用コードを実行することができる。標準設定により、攻撃者はユーザの権限でのみコードを実行するが、アップルのセキュリティ・アップデートで説明されているその他の脆弱性は、攻撃者が権限昇格を行うことでユーザのMacを完全に操作できるようにする。
- Flash Playerプラグインの脆弱性(複数)
SafariでAdobe Flash(アドビ・フラッシュ)コンテンツを閲覧できるようにするため、OS XにはFlash Playerプラグインが搭載されているが、残念なことにFlash Playerプラグインは様々な未特定の脆弱性の影響を受けている。アップルはその欠陥の詳細について説明していないが、問題がもたらす可能性のある影響については説明している。攻撃者は有害なウェブサイトにユーザを誘導することで、中でももっとも悪質な欠陥を悪用しユーザのコンピュータでコードを実行する。その場合、攻撃者は他の脆弱性を利用して(注:セキュリティ・アップデートではその脆弱性も修正されている)、ユーザのコンピュータを完全に操作できるようになる可能性がある。
- CoreServices クレデンシャル・ハイジャックの脆弱性
CoreServicesはOS Xのアプリケーション・プログラミング・インターフェイス(API)のセットだが、Safariはこの欠陥の影響を受け、ウェブサイトが国別のトップレベル・ドメイン用のクッキーを設定できるように許可してしまう。アップルによれば、そのためにリモート攻撃者がセッション・フィクセーション攻撃を行えるようになるという。攻撃者は悪性のリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、ユーザのウェブ・クレデンシャルを盗み、ユーザが訪れるセキュアなウェブサイトへのアクセス権を獲得する恐れがある。
アップルのアラートは、先に説明した他にもコード実行の欠陥など、この他いくつもの欠陥について説明している。残りの脆弱性はサービス拒否(DoS)問題、権限昇格の問題、クラッシュ脆弱性などがある。
このセキュリティ・アップデートで修正されたコンポーネントは次の通り:
ATS |
BOM |
CoreGraphics |
CoreServices |
CoreTypes |
Flash Player Plug-in |
Kernel |
LibSystem |
Managed Client |
network_cmds |
Podcast Producer |
UDF |
【対策】
アップルはセキュリティ問題を修正するOS X 10.5.6アップデートとSecurity Update 2008-008をリリースしている。OS X管理者はアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
日本語版対応:
- セキュリティ・アップデート 2008-008 (PPC)
- セキュリティ・アップデート 2008-008 (Intel)
- セキュリティ・アップデート 2008-008 Server (PPC)
- セキュリティ・アップデート 2008-008 Server (Universal)
- Mac OS X 10.5.6 アップデート
- Mac OS X 10.5.6 コンボアップデート
- Mac OS X 10.5.6 サーバ・アップデート
- Mac OS X 10.5.6 サーバ・コンボアップデート
使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
アップルのOS X アドバイザリ(12月分)
Mac OS X: ソフトウェアをアップデートする方法
サポートダウンロード先
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。