アップデート:OS Xアップデート、セキュリティ問題39件を修正 2007年11月14日
注記:当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
セキュリティ・アラート
■アップデート:OS Xアップデート、セキュリティ問題39件を修正
危険度:高
日付:2007年11月14日
【概要】
米国時間の11月14日、アップル社はOS Xに搭載されている、WebCore、Networking、BINDなどを含むソフトウェア・パッケージを対象にセキュリティ・アップデートをリリースした。このアップデートは39件のセキュリティ問題を修正する。中でも悪質なセキュリティ問題を悪用した攻撃者は、被害者のMacでコードを実行することができるようになる。場合によっては、そのコンピューターを完全にコントロールすることも可能になる。OS Xバージョン10.3.9やバージョン10.4.10を管理している場合は、状況に適したアップルのセキュリティ・アップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
【問題の詳細】
アップルがリリースしたセキュリティ・アップデート(英語)は、OS X バージョン10.3.9とバージョン10.4.10に搭載されているソフトウェア・パッケージの脆弱性を修正する。こうした脆弱性には、攻撃者が被害者のOS Xマシーンで任意コードを実行することができるように許可するものが多々ある。このため、ライブセキュリティ・チームでは、この危険レベルを「緊急」とみており、できる限り早急にアップデートをインストールすることをすすめる。修正された複数の脆弱性については、次の概要を参照。
■Networking(ネットワーキング)のセキュリティ問題(5件)
OS XはNetworkingコンポーネントを搭載している。Networking は、OS Xコンピューターがネットワークにある他のコンピューターとコミュニケーションを取り合えるようにするものだ。ところが、アップルはこのNeworkingが5つのセキュリティ問題の影響を受けていると報告している。そのうち3つはAppleTalkに関与するという。AppleTalkを有効にしている場合、ローカル攻撃者は、まず細工したパケットを送信する。そして、3つの脆弱性のうちいづれかを悪用し、ユーザーの権限を持った攻撃者は被害者のコンピューターでコードを実行する。もう1つのNetworking問題はIPv6に関与する。細工したIPv6パケットを送信することで、リモート攻撃者はこの脆弱性を悪用し、ユーザーのマシーンでコードを実行することができるようになる。そして5つめのセキュリティ問題は、Networkingの「Node Information Query mechanism(ノード情報クエリのメカニズム)」に関与する。リモート攻撃者は、このメカニズムで未特定の欠陥を利用し、ネットワークにある他のホストについて情報を得ることができる。
■WebCoreの問題(9件)
WebCoreは、オペレーティング・システムがウェブ・ページを処理・表示することができるようにするOS Xのコンポーネントだ。今回アップルがリリースしたセキュリティ・アップデートは、このWebCoreのセキュリティ問題(9件)を修正している。9件の問題はそれぞれ技術的に異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザーの権限を獲得した上でその被害者のコンピューターで悪性コードを実行することができる。攻撃者は、細工したウェブページにユーザーを招き寄せるだけでこの攻撃を誘発できる。
■フラッシュ・プレイヤー・プラグインのコード実行問題
Adobeのフラッシュ・プレイヤー・プラグインは、ウェブサイトのフラッシュ・コンテンツを再生するためにOS Xが使うコンポーネントだ。フラッシュ・プレイヤー・プラグインは、未特定のインプット確認問題の影響を受けている。細工したフラッシュ・コンテンツをユーザーに閲覧させることで、リモート攻撃者はこの欠陥を悪用し、ユーザーの権限を持って被害者のコンピューターでコードを実行できるようになる。
アップルがリリースしたアラートは、この他にも24件のセキュリティ問題について説明している。その中には、上述した他にコード実行の欠陥に関する問題が多々ある。その他のセキュリティ問題には、サービス拒否(DoS)の問題、権限の昇格問題、クロスサイト・スクリプティング(XSS)問題、他などがある。このセキュリティ・アップデート修正プログラムでは、次のコンポーネントもカバーされている。
詳細についてはアップルがリリースしたアラート(英語)を参照することをすすめる。
アップルは、これとは別のセキュリティ情報でウィンドウズのベータ版用、Safari 3 のセキュリティ問題を複数修正している。攻撃者が細工したウェブサイトに、ウィンドウズ・ユーザーがSafariを使って行った場合、攻撃者は中でも悪質な欠陥を悪用し、ユーザーの権限を備えた上で被害者のマシーンでコードを実行することができるようになる。詳細については、アップルがリリースしたウィンドウズ対象のSafariに関する記事(英語)を参考にすることをすすめる。ネットワークでウィンドウズ用のSafari 3 を使用している場合は、修正プログラムをインストールすること。
【対策】
アップルは、OS X バージョン10.3.9とバージョン10.4.8を対象に、セキュリティ問題を修正するプログラムをリリースしている。OS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてからインストールすることをすすめる。
ダウンロード先(日本語版対応):
・セキュリティ・アップデート2007-008 (10.3.9 クライアント)
・セキュリティ・アップデート2007-008 (10.3.9 サーバー)
・Mac OS X アップデート10.4.11 (Intel)
・Mac OS X アップデート10.4.11 (PPC)
注意:使用しているOS Xバージョンに対応する修正プログラムがどれかわからない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、状況に適したアップデートを自動的にインストールすることをすすめる。
全ユーザー:こうしたセキュリティ欠陥は、様々な悪用方法をサポートする。中にはローカルのもの、つまりペリミター・ファイアウォールが攻撃に直面しないものもある(社内の部署間にファイアウォールを設置している場合は別)。もっとも安全な対策は、このアップデートをインストールすることである。
【ステータス】
アップルは問題を修正するアップデート版をリリースしている。
【参考文献】
アップルによる11月のOS X アドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
セキュリティ・アラート
■アップデート:OS Xアップデート、セキュリティ問題39件を修正
危険度:高
日付:2007年11月14日
【概要】
米国時間の11月14日、アップル社はOS Xに搭載されている、WebCore、Networking、BINDなどを含むソフトウェア・パッケージを対象にセキュリティ・アップデートをリリースした。このアップデートは39件のセキュリティ問題を修正する。中でも悪質なセキュリティ問題を悪用した攻撃者は、被害者のMacでコードを実行することができるようになる。場合によっては、そのコンピューターを完全にコントロールすることも可能になる。OS Xバージョン10.3.9やバージョン10.4.10を管理している場合は、状況に適したアップルのセキュリティ・アップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
【問題の詳細】
アップルがリリースしたセキュリティ・アップデート(英語)は、OS X バージョン10.3.9とバージョン10.4.10に搭載されているソフトウェア・パッケージの脆弱性を修正する。こうした脆弱性には、攻撃者が被害者のOS Xマシーンで任意コードを実行することができるように許可するものが多々ある。このため、ライブセキュリティ・チームでは、この危険レベルを「緊急」とみており、できる限り早急にアップデートをインストールすることをすすめる。修正された複数の脆弱性については、次の概要を参照。
■Networking(ネットワーキング)のセキュリティ問題(5件)
OS XはNetworkingコンポーネントを搭載している。Networking は、OS Xコンピューターがネットワークにある他のコンピューターとコミュニケーションを取り合えるようにするものだ。ところが、アップルはこのNeworkingが5つのセキュリティ問題の影響を受けていると報告している。そのうち3つはAppleTalkに関与するという。AppleTalkを有効にしている場合、ローカル攻撃者は、まず細工したパケットを送信する。そして、3つの脆弱性のうちいづれかを悪用し、ユーザーの権限を持った攻撃者は被害者のコンピューターでコードを実行する。もう1つのNetworking問題はIPv6に関与する。細工したIPv6パケットを送信することで、リモート攻撃者はこの脆弱性を悪用し、ユーザーのマシーンでコードを実行することができるようになる。そして5つめのセキュリティ問題は、Networkingの「Node Information Query mechanism(ノード情報クエリのメカニズム)」に関与する。リモート攻撃者は、このメカニズムで未特定の欠陥を利用し、ネットワークにある他のホストについて情報を得ることができる。
■WebCoreの問題(9件)
WebCoreは、オペレーティング・システムがウェブ・ページを処理・表示することができるようにするOS Xのコンポーネントだ。今回アップルがリリースしたセキュリティ・アップデートは、このWebCoreのセキュリティ問題(9件)を修正している。9件の問題はそれぞれ技術的に異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザーの権限を獲得した上でその被害者のコンピューターで悪性コードを実行することができる。攻撃者は、細工したウェブページにユーザーを招き寄せるだけでこの攻撃を誘発できる。
■フラッシュ・プレイヤー・プラグインのコード実行問題
Adobeのフラッシュ・プレイヤー・プラグインは、ウェブサイトのフラッシュ・コンテンツを再生するためにOS Xが使うコンポーネントだ。フラッシュ・プレイヤー・プラグインは、未特定のインプット確認問題の影響を受けている。細工したフラッシュ・コンテンツをユーザーに閲覧させることで、リモート攻撃者はこの欠陥を悪用し、ユーザーの権限を持って被害者のコンピューターでコードを実行できるようになる。
アップルがリリースしたアラートは、この他にも24件のセキュリティ問題について説明している。その中には、上述した他にコード実行の欠陥に関する問題が多々ある。その他のセキュリティ問題には、サービス拒否(DoS)の問題、権限の昇格問題、クロスサイト・スクリプティング(XSS)問題、他などがある。このセキュリティ・アップデート修正プログラムでは、次のコンポーネントもカバーされている。
Apple Raid |
BIND |
bzip2 |
CFFTP |
CFNetworks |
CoreFoundation |
CoreText |
Kerberos |
Kernel |
remote_cmds |
NFS |
NSURL |
Safari |
SecurityAgent |
Webkit |
詳細についてはアップルがリリースしたアラート(英語)を参照することをすすめる。
アップルは、これとは別のセキュリティ情報でウィンドウズのベータ版用、Safari 3 のセキュリティ問題を複数修正している。攻撃者が細工したウェブサイトに、ウィンドウズ・ユーザーがSafariを使って行った場合、攻撃者は中でも悪質な欠陥を悪用し、ユーザーの権限を備えた上で被害者のマシーンでコードを実行することができるようになる。詳細については、アップルがリリースしたウィンドウズ対象のSafariに関する記事(英語)を参考にすることをすすめる。ネットワークでウィンドウズ用のSafari 3 を使用している場合は、修正プログラムをインストールすること。
【対策】
アップルは、OS X バージョン10.3.9とバージョン10.4.8を対象に、セキュリティ問題を修正するプログラムをリリースしている。OS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてからインストールすることをすすめる。
ダウンロード先(日本語版対応):
・セキュリティ・アップデート2007-008 (10.3.9 クライアント)
・セキュリティ・アップデート2007-008 (10.3.9 サーバー)
・Mac OS X アップデート10.4.11 (Intel)
・Mac OS X アップデート10.4.11 (PPC)
注意:使用しているOS Xバージョンに対応する修正プログラムがどれかわからない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、状況に適したアップデートを自動的にインストールすることをすすめる。
全ユーザー:こうしたセキュリティ欠陥は、様々な悪用方法をサポートする。中にはローカルのもの、つまりペリミター・ファイアウォールが攻撃に直面しないものもある(社内の部署間にファイアウォールを設置している場合は別)。もっとも安全な対策は、このアップデートをインストールすることである。
【ステータス】
アップルは問題を修正するアップデート版をリリースしている。
【参考文献】
アップルによる11月のOS X アドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。