OS Xアップデートがセキュリティ脆弱性67件を修正 2009年5月12日
OS Xアップデートがセキュリティ脆弱性67件を修正
Windows/Tigerユーザ対応のスタンドアローンSafari 3.2.3もリリース
危険度:高
2009年5月12日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
悪質なドキュメントやディスク・イメージなどをユーザがダウンロードし閲覧するように仕向けたり、悪質なウェブサイトにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はOS X 10.5.7アップデート版またはセキュリティ・アップデート2009-002をダウンロードし、テストしてからインストールすること。また、TigerユーザおよびWindowsユーザもSafari 3.2.3をインストールすること
【詳細】
米国時間の5月12日、アップルはOS Xに見られる脆弱性問題を修正するセキュリティ・アップデートをリリースした。このアップデートは、ApacheやBIND、Safari、iChatなどOS Xの一部として搭載されているコンポーネント(31種類)に見られる少なくとも67件のセキュリティ問題を修正している(数字は CVE-IDの情報による)。脆弱性の中にはユーザのOS Xにて攻撃者がコードを実行できるように許可してしまうものもあるため、LiveSecurityではこのアップデートを重要と評価しており、できる限り早急にアップデートをインストールすることをすすめている。
修正された脆弱性には下記3件も入っている。
今回のセキュリティ・アップデートで修正されたコンポーネントは次の通り:
詳細についてはアップルのOS Xアラート、リンクについては下記の「参考資料」を参照。また、アップルは同時にSafari 3.2.3のアップデート版もリリースしている。このSafariアップデートは、OS X 10.5.x (Leopard) のアップデート版にはすでに含まれているが、WindowsやOS X 10.4.x (Tiger) 対応のSafariを使用している場合は、できる限り早急にSafariのバージョン3.2.3もダウンロードしインストールすること。
【対策】
アップルはこの問題を修正するためにOS X Security Update 2009-002とOS X Update 10.5.7をリリースしている。OS X管理者は相当するアップデートをできる限り早急にダウンロードし、テストしてからインストールすること。
日本語版対応:
注意:使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
この欠陥は様々な悪用方法を有効にすることができる。ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】 アップルは問題を修正するアップデート版をリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
Windows/Tigerユーザ対応のスタンドアローンSafari 3.2.3もリリース
危険度:高
2009年5月12日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
悪質なドキュメントやディスク・イメージなどをユーザがダウンロードし閲覧するように仕向けたり、悪質なウェブサイトにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はOS X 10.5.7アップデート版またはセキュリティ・アップデート2009-002をダウンロードし、テストしてからインストールすること。また、TigerユーザおよびWindowsユーザもSafari 3.2.3をインストールすること
【詳細】
米国時間の5月12日、アップルはOS Xに見られる脆弱性問題を修正するセキュリティ・アップデートをリリースした。このアップデートは、ApacheやBIND、Safari、iChatなどOS Xの一部として搭載されているコンポーネント(31種類)に見られる少なくとも67件のセキュリティ問題を修正している(数字は CVE-IDの情報による)。脆弱性の中にはユーザのOS Xにて攻撃者がコードを実行できるように許可してしまうものもあるため、LiveSecurityではこのアップデートを重要と評価しており、できる限り早急にアップデートをインストールすることをすすめている。
修正された脆弱性には下記3件も入っている。
- CoreGraphicsに見られる複数のPDF 処理問題
CoreGraphicsは、画像をディスプレイ(またはプリンタ)に出力するために使用するOS Xのコンポーネントだが、PDFファイルの対応に関与する脆弱性の問題をいくつか受けている。攻撃者は細工したPDFドキュメントを有害なウェブサイトでホストさせるなどして、被害者にそれを閲覧させることで欠陥を悪用、被害者のコンピュータで攻撃用コードを実行することができる。標準設定により、攻撃者はユーザの特権を備えた状態でのみコードを実行するが、アップルのセキュリティ・アップデートで説明されているその他の脆弱性は、攻撃者が権限昇格を行うことでユーザのMacを完全に操作できるようにする。
- Flash Playerプラグインの脆弱性(複数)
SafariでAdobe Flashコンテンツを閲覧できるようにするため、OS XにはFlash Playerプラグインが搭載されているが、残念なことにそのFlash Playerプラグインは様々な未特定の脆弱性の影響を受けている。アップルは欠陥の詳細について説明していないが、この問題がもたらす可能性のある影響については説明している。攻撃者は有害なウェブサイトにユーザを誘導することで、中でももっとも悪質な欠陥を悪用しユーザのコンピュータでコードを実行する。その場合、攻撃者は他の脆弱性を利用して(注:セキュリティ・アップデートではその脆弱性も修正されている)、ユーザのコンピュータを完全に操作できるようになる可能性がある。
- Apple Type Serviceヒープ・バッファ・オーバーフロー問題
Apple Type Service (ATS)は、OS Xコンピュータがフォントに対応できるようにするものだが、ATSはコンパクト・フォント・フォーマット(CFF)フォントの処理に関与するバッファ・オーバーフロー問題の影響を受けている。細工したフォントを含む悪質なドキュメントをユーザがダウンロードし、それを閲覧するように仕向けると攻撃者はこの欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。標準設定により、攻撃者はユーザの特権を備えた状態でのみコードを実行するが、アップルのセキュリティ・アップデートで説明されているその他の脆弱性は、攻撃者が権限昇格を行うことでユーザのMacを完全に操作できるようにする。
今回のセキュリティ・アップデートで修正されたコンポーネントは次の通り:
|
【対策】
アップルはこの問題を修正するためにOS X Security Update 2009-002とOS X Update 10.5.7をリリースしている。OS X管理者は相当するアップデートをできる限り早急にダウンロードし、テストしてからインストールすること。
日本語版対応:
- Mac OS X 10.5.7アップデート
- Mac OS X 10.5.7コンボアップデート
- Mac OS X 10.5.7アップデート
- Mac OS X 10.5.7アップデート
- セキュリティ・アップデート2009-002(Server Universal)
- セキュリティ・アップデート2009-002 (Tiger PPC)
- セキュリティ・アップデート2009-002 (Tiger Intel)
- セキュリティ・アップデート2009-002 (Server Tiger PPC)
- Windows対応 Safari 3.2.3
- Tiger対応 Safari 3.2.3
注意:使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
この欠陥は様々な悪用方法を有効にすることができる。ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】 アップルは問題を修正するアップデート版をリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。