16のソフトウェア・パッケージを修正するアップルのOS Xセキュリティ・アップデート 2007年8月1日
注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■16のソフトウェア・パッケージを修正するアップルのOS Xセキュリティ・アップデート■
危険度:中
日付:2007年8月1日
概要:
米国時間の7月31日、アップルは「Kerberos」「gnuzip」「iChat」など、OS Xに搭載されている16のソフトウェア・パッケージに存在する45件のセキュリティ問題を修正するセキュリティ・アップデートをリリースした。
攻撃者は、中でも悪質なセキュリティ問題を悪用し、被害者のMacでコードを実行、そのコンピューターを完全にコントロールできるようになる可能性がある。
「OS X 10.3.9」や「OS X 10.4.10」を管理している場合は、できる限り早急に、状況に適したアップルのセキュリティ・アップデートをダウンロードし、テストしてからインストールすることを勧める。
問題の詳細:
アップルがリリースしたセキュリティ・アップデートやその他のリソースは、「OS X 10.3.9」及び「OS X 10.4.10」に搭載されている16のソフトウェア・パッケージに影響を与えている25件~45件の脆弱性をOS Xアップデートが修正すると説明している。
そうした脆弱性の中には、攻撃者が被害者のOS Xマシーンで任意コードを実行できるように許可するものもあるため、できる限り早急にアップルのアップデートを導入することを勧める。
修正された脆弱性には、次の問題も含まれている。
■CoreAudioのリモート・コード実行問題
CoreAudioは、OS Xにオーディオ機能範囲を統合させるために使うコンポーネントだが、これはJavaインターフェイスに関与する3つの脆弱性の影響を受けている。
3つの脆弱性は、技術的にはそれぞれ異なるものの、その影響は同じである。
攻撃者は悪性のウェブサイトにユーザーを誘い、こうした欠陥の1つを悪用しユーザーの権限を獲得した上で、そのコンピューターでコードを実行する。
その後、攻撃者は他のローカルな脆弱性を悪用し、被害者のMacを完全にコントロールできるようになる恐れもある。
■Webkitのヒープ・バッファ・オーバーフロー問題
Webkitは、OS Xのウェブ・ブラウザーである「Safari」が使用 するウェブ・ブラウザー・エンジンだが、そのWebkitがバッファ・オーバーフローの脆弱性の影響を受けている。
攻撃者は、悪性のウェブサイトにユーザーを誘い、このバッファ・オーバーフロー問題を悪用し、ユーザーの権限を獲得した上でそのコンピューターでコードを実行する。
■PDFkitの整数のアンダーフロー問題
PDFkitは、OS XでPDF文書を管理したり表示したりするた めのフレームワークだが、このPDFkitが整数のアンダーフロー問題の影響を受けている(整数のアンダーフローとは、バッファ・オーバーフロー攻撃を引き起こす状態に近い、別のタイプのメモリー・エラー)。
攻撃者は不正なPDF文書をユーザーにダウンロードさせ、それを開かせると、この欠陥を悪用しユーザーの権限を獲得した上でコードを実行する。
アップルがリリースしたアラートは、上記したようなコード実行問題をいくつも含んでいる。
この他の脆弱性以外に、サービス拒否の問題、クロスサイト・スクリプティング(XSS)問題、情報開示の問題など他にも様々ある。
このセキュリティ・アップデートが修正しているその他のコンポーネントは下記も含んでいる。
bzip2
CFNetwork
cscope
Kerberos
Quartz Composer
SquirrelMail
ebcore<
iChat
mDNSResponder
gnuzip
PHP
Samba
Tomcat
詳細については、アップルがリリースしているアラートを参照す ることを勧める。(注意:現時点では英文のみ)
http://docs.info.apple.com/article.html?artnum=306172
対策:
アップルは「OS X 10.3.9」や「OS X 10.4.10」を対象に、こ うした脆弱性を修正するアップデートをリリースしている。
アップルのOS Xを管理している場合は、状況に適したアップデートをできる限り早急にダウンロードし、テストしてから導入することを勧める。
【ダウンロード先(日本語版)】
セキュリティ・アップデート 2007-007 (10.3.9 クライアント)
http://www.apple.com/support/downloads/securityupdate20070071039.html
セキュリティ・アップデート 2007-007 (10.3.9 サーバー)
http://www.apple.com/support/downloads/securityupdate20070071039server.html
セキュリティ・アップデート 2007-007 (10.3.9 PPC)
http://www.apple.com/support/downloads/securityupdate200700710410ppc.html
セキュリティ・アップデート 2007-007(10.3.9 サーバーPPC)
http://www.apple.com/support/downloads/securityupdate200700710410serverppc.html
セキュリティ・アップデート 2007-007 (10.3.9 ユニバーサル)
http://www.apple.com/support/downloads/securityupdate200700710410universal.html
セキュリティ・アップデート 2007-007
(10.3.9 サーバー・ユニバーサル)
http://www.apple.com/support/downloads/securityupdate200700710410serveruniversal.html
注意:
使用しているOS Xのバージョンに適った修正プログラムが定かではない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、自動的に必要なアップデートを取り入れることができる。
■全ユーザー対象:
こうした問題は、様々な悪用方法をサポートする。
中には、ペリミター・ファイアウォールが攻撃に干渉せずに行われるローカル攻撃もある(内部の部署間にファイアウォールを使用している場合を除く)。
このため、この問題に対応するアップデートをインストールすることが主な対策となる。
【ステータス:】
アップルはこうした問題を修正するプログラムをリリースしている。
【参考資料:】
アップルによるOS Xアドバイザリー(2007年7月)(英文のみ)
http://docs.info.apple.com/article.html?artnum=306172
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■16のソフトウェア・パッケージを修正するアップルのOS Xセキュリティ・アップデート■
危険度:中
日付:2007年8月1日
概要:
米国時間の7月31日、アップルは「Kerberos」「gnuzip」「iChat」など、OS Xに搭載されている16のソフトウェア・パッケージに存在する45件のセキュリティ問題を修正するセキュリティ・アップデートをリリースした。
攻撃者は、中でも悪質なセキュリティ問題を悪用し、被害者のMacでコードを実行、そのコンピューターを完全にコントロールできるようになる可能性がある。
「OS X 10.3.9」や「OS X 10.4.10」を管理している場合は、できる限り早急に、状況に適したアップルのセキュリティ・アップデートをダウンロードし、テストしてからインストールすることを勧める。
問題の詳細:
アップルがリリースしたセキュリティ・アップデートやその他のリソースは、「OS X 10.3.9」及び「OS X 10.4.10」に搭載されている16のソフトウェア・パッケージに影響を与えている25件~45件の脆弱性をOS Xアップデートが修正すると説明している。
そうした脆弱性の中には、攻撃者が被害者のOS Xマシーンで任意コードを実行できるように許可するものもあるため、できる限り早急にアップルのアップデートを導入することを勧める。
修正された脆弱性には、次の問題も含まれている。
■CoreAudioのリモート・コード実行問題
CoreAudioは、OS Xにオーディオ機能範囲を統合させるために使うコンポーネントだが、これはJavaインターフェイスに関与する3つの脆弱性の影響を受けている。
3つの脆弱性は、技術的にはそれぞれ異なるものの、その影響は同じである。
攻撃者は悪性のウェブサイトにユーザーを誘い、こうした欠陥の1つを悪用しユーザーの権限を獲得した上で、そのコンピューターでコードを実行する。
その後、攻撃者は他のローカルな脆弱性を悪用し、被害者のMacを完全にコントロールできるようになる恐れもある。
■Webkitのヒープ・バッファ・オーバーフロー問題
Webkitは、OS Xのウェブ・ブラウザーである「Safari」が使用 するウェブ・ブラウザー・エンジンだが、そのWebkitがバッファ・オーバーフローの脆弱性の影響を受けている。
攻撃者は、悪性のウェブサイトにユーザーを誘い、このバッファ・オーバーフロー問題を悪用し、ユーザーの権限を獲得した上でそのコンピューターでコードを実行する。
■PDFkitの整数のアンダーフロー問題
PDFkitは、OS XでPDF文書を管理したり表示したりするた めのフレームワークだが、このPDFkitが整数のアンダーフロー問題の影響を受けている(整数のアンダーフローとは、バッファ・オーバーフロー攻撃を引き起こす状態に近い、別のタイプのメモリー・エラー)。
攻撃者は不正なPDF文書をユーザーにダウンロードさせ、それを開かせると、この欠陥を悪用しユーザーの権限を獲得した上でコードを実行する。
アップルがリリースしたアラートは、上記したようなコード実行問題をいくつも含んでいる。
この他の脆弱性以外に、サービス拒否の問題、クロスサイト・スクリプティング(XSS)問題、情報開示の問題など他にも様々ある。
このセキュリティ・アップデートが修正しているその他のコンポーネントは下記も含んでいる。
bzip2
CFNetwork
cscope
Kerberos
Quartz Composer
SquirrelMail
ebcore<
iChat
mDNSResponder
gnuzip
PHP
Samba
Tomcat
詳細については、アップルがリリースしているアラートを参照す ることを勧める。(注意:現時点では英文のみ)
http://docs.info.apple.com/article.html?artnum=306172
対策:
アップルは「OS X 10.3.9」や「OS X 10.4.10」を対象に、こ うした脆弱性を修正するアップデートをリリースしている。
アップルのOS Xを管理している場合は、状況に適したアップデートをできる限り早急にダウンロードし、テストしてから導入することを勧める。
【ダウンロード先(日本語版)】
セキュリティ・アップデート 2007-007 (10.3.9 クライアント)
http://www.apple.com/support/downloads/securityupdate20070071039.html
セキュリティ・アップデート 2007-007 (10.3.9 サーバー)
http://www.apple.com/support/downloads/securityupdate20070071039server.html
セキュリティ・アップデート 2007-007 (10.3.9 PPC)
http://www.apple.com/support/downloads/securityupdate200700710410ppc.html
セキュリティ・アップデート 2007-007(10.3.9 サーバーPPC)
http://www.apple.com/support/downloads/securityupdate200700710410serverppc.html
セキュリティ・アップデート 2007-007 (10.3.9 ユニバーサル)
http://www.apple.com/support/downloads/securityupdate200700710410universal.html
セキュリティ・アップデート 2007-007
(10.3.9 サーバー・ユニバーサル)
http://www.apple.com/support/downloads/securityupdate200700710410serveruniversal.html
注意:
使用しているOS Xのバージョンに適った修正プログラムが定かではない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、自動的に必要なアップデートを取り入れることができる。
■全ユーザー対象:
こうした問題は、様々な悪用方法をサポートする。
中には、ペリミター・ファイアウォールが攻撃に干渉せずに行われるローカル攻撃もある(内部の部署間にファイアウォールを使用している場合を除く)。
このため、この問題に対応するアップデートをインストールすることが主な対策となる。
【ステータス:】
アップルはこうした問題を修正するプログラムをリリースしている。
【参考資料:】
アップルによるOS Xアドバイザリー(2007年7月)(英文のみ)
http://docs.info.apple.com/article.html?artnum=306172
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP