OS X 10.5.3が40件以上のセキュリティ問題を修正 2008年5月28日
OS X 10.5.3が40件以上のセキュリティ問題を修正
危険度:高
2008年5月28日
【概要】
・対象:
OS X 10.4.x (Tiger)及びOS X 10.5.x (Leopard)のクライアントとサーバー・バージョン
・悪用方法:
URLやウェブサイトにユーザーを誘導するなど、攻撃方法は複数ある。
・影響:
様々な結果があるが最悪の場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを操れるようになる可能性もある。
・対策:
OS Xの管理者はアップルのセキュリティ・アップデート2008-003 / Mac OS X 10.5.3
をダウンロードし、テストしてからインストールすること。
【詳細】
米国時間の5月28日、アップルはセキュリティ・アップデートをリリースし、少なくとも41件のセキュリティ問題を修正した(注:この数字はCVE-IDによる)。このセキュリティ問題は、[Apache] [iCal] [Mail]といったアプリケーションを含むOS Xの一部として出荷されているソフトウェア・パッケージに存在し、中には攻撃者が被害者のOS Xでコードを実行できるようにしてしまうものもある。このためウォッチガードのライブセキュリティではこのアップデートを重要レベルとみなしており、できる限り早急にアップデートを適用することを勧める。修正済みのセキュリティ問題には次の3つの点も対象となっている。
上記した問題以外にもアップルのアラートではコード実行問題、サービス拒否(DoS)問題、権限の昇格問題、情報開示の問題など、その他多数のセキュリティ問題が報告されている。今回のセキュリティ・アップデートで解消された問題には次のようなものがある。
詳細についてはアップルのアラートを参照することを勧める。
OS Xを管理している場合は、至急このアップデートを導入することを勧める。
【対策】
アップルはOS X Security Update 2008-003 / OS X 10.5.3をリリースし、こうしたセキュリティ問題を全て解決している。OS Xの管理者は状況に適したアップデートをできる限り早急にダウンロードし、テストしてから導入することを勧める。
日本語版対応:
・セキュリティ・アップデート 2008-003 (PPC)
・セキュリティ・アップデート 2008-003 (Intel)
・セキュリティ・アップデート 2008-003 サーバー(PPC)
・セキュリティ・アップデート 2008-003 サーバー(Universal)
・セキュリティ・アップデート OS X 10.5.3 (Leopard)
・セキュリティ・アップデート OS X 10.5.3 コンボアップデート (Leopard)
注:使用しているOS Xバージョンにどのパッチを適用すればよいか不確かな場合は、OS Xのソフトウェア・アップデート機能を利用し、状況に適したアップデートを自動的に導入するように設定することを勧める。
ウォッチガードのユーザー:
こうしたセキュリティ問題は様々な悪用方法を誘発し、中にはユーザーの境界ファイアウォールが攻撃に直面しないローカルなものもある(部署間にファイアウォールを設置している場合を除く)。このため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルはこの問題を解決するアップデートをリリースしている。
【参考資料】
・アップルのOS Xアドバイザリー:5月分
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査され書かれた記事です。
危険度:高
2008年5月28日
【概要】
・対象:
OS X 10.4.x (Tiger)及びOS X 10.5.x (Leopard)のクライアントとサーバー・バージョン
・悪用方法:
URLやウェブサイトにユーザーを誘導するなど、攻撃方法は複数ある。
・影響:
様々な結果があるが最悪の場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを操れるようになる可能性もある。
・対策:
OS Xの管理者はアップルのセキュリティ・アップデート2008-003 / Mac OS X 10.5.3
をダウンロードし、テストしてからインストールすること。
【詳細】
米国時間の5月28日、アップルはセキュリティ・アップデートをリリースし、少なくとも41件のセキュリティ問題を修正した(注:この数字はCVE-IDによる)。このセキュリティ問題は、[Apache] [iCal] [Mail]といったアプリケーションを含むOS Xの一部として出荷されているソフトウェア・パッケージに存在し、中には攻撃者が被害者のOS Xでコードを実行できるようにしてしまうものもある。このためウォッチガードのライブセキュリティではこのアップデートを重要レベルとみなしており、できる限り早急にアップデートを適用することを勧める。修正済みのセキュリティ問題には次の3つの点も対象となっている。
- AppKitのコード実行問題
AppKitはグラフィカルやイベント駆動のユーザー・インターフェイスを実装するために役立つOS Xフレームワークだが、アップルによるとAppKitは細工された文書ファイルの処理に関与する未特定のセキュリティ問題の影響を受けているという。細工した文書をユーザーがダウンロードするように誘導し、AppKitを使うTextEditのようなエディターでユーザーがその文書を開くように仕向けることで、攻撃者はこの欠陥を悪用しユーザーのコンピューターで被害者の権限を獲得した状態でコードを実行できるようになる。
- ヘルプ・ビューアのバッファ・オーバーフロー問題
ヘルプ・ビューアはアップルのヘルプ・コンテンツを表示するOS Xコンポーネントだが、細工されたhelp:topic URLの処理に関与するバッファ・オーバーフローの影響を受けている。細工されたリンクをユーザーがクリックするように誘導することで、攻撃者はこの欠陥を悪用しユーザーのコンピューターでコードを実行できるようになる。ディフォルトにより、攻撃者はそのユーザーの権限でのみコードを実行する。
- CoreGraphics コード実行の問題
CoreGraphicsは、OS Xコンピューターで様々なタイプのグラフィックを表示するために役立つOS Xフレームワークだが、アップル曰く、PDFファイルの処理に関与する初期化されていない変数問題の影響を受けているという。細工した悪性のPDFファイルをユーザーにダウンロードさせ、それを開かせることで攻撃者はこの問題を悪用し、ユーザーのコンピューターでコードを実行できるようになる。ディフォルトにより、攻撃者はそのユーザーの権限でのみコードを実行する。
上記した問題以外にもアップルのアラートではコード実行問題、サービス拒否(DoS)問題、権限の昇格問題、情報開示の問題など、その他多数のセキュリティ問題が報告されている。今回のセキュリティ・アップデートで解消された問題には次のようなものがある。
AFP Server |
Apache |
AppKit |
Apple Pixlet Video |
ATS |
CFNetwork |
CoreFoundation |
CoreGraphics |
CoreTypes |
CUPS |
Flash Player Plug-in |
Help Viewer |
iCal |
International Components for Unicode |
Image Capture |
ImageIO |
Kernel |
LoginWindow |
ruby |
|
Single Sign-On |
Wiki Server |
詳細についてはアップルのアラートを参照することを勧める。
OS Xを管理している場合は、至急このアップデートを導入することを勧める。
【対策】
アップルはOS X Security Update 2008-003 / OS X 10.5.3をリリースし、こうしたセキュリティ問題を全て解決している。OS Xの管理者は状況に適したアップデートをできる限り早急にダウンロードし、テストしてから導入することを勧める。
日本語版対応:
・セキュリティ・アップデート 2008-003 (PPC)
・セキュリティ・アップデート 2008-003 (Intel)
・セキュリティ・アップデート 2008-003 サーバー(PPC)
・セキュリティ・アップデート 2008-003 サーバー(Universal)
・セキュリティ・アップデート OS X 10.5.3 (Leopard)
・セキュリティ・アップデート OS X 10.5.3 コンボアップデート (Leopard)
注:使用しているOS Xバージョンにどのパッチを適用すればよいか不確かな場合は、OS Xのソフトウェア・アップデート機能を利用し、状況に適したアップデートを自動的に導入するように設定することを勧める。
ウォッチガードのユーザー:
こうしたセキュリティ問題は様々な悪用方法を誘発し、中にはユーザーの境界ファイアウォールが攻撃に直面しないローカルなものもある(部署間にファイアウォールを設置している場合を除く)。このため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルはこの問題を解決するアップデートをリリースしている。
【参考資料】
・アップルのOS Xアドバイザリー:5月分
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査され書かれた記事です。