アップル、OS Xアップデートをリリース 2007年12月18日
アップル、OS Xアップデートをリリース
危険度:高
日付:2007年12月18日
対象
・OS X 10.4.x (Tiger) / 10.5.x (Leopard)
悪用法
・細工したウェブサイトにユーザーを招き寄せたり仕掛けファイルをユーザーに開かせたりするなど、複数の攻撃方法あり。
影響
・セキュリティ欠陥(30件):結果は様々。攻撃者はユーザーのコンピューターでコードを実行したり、コンピューターの完全コントロール権を獲得する。
対策
・アップルのセキュリティ・アップデート[2007-009]をインストールすること。
【問題の詳細】
米国時間の12月18日、アップル社はOS Xバージョン10.4.xとバージョン10.5.xの一部として搭載されているSafari・Mail・iChat などのソフトウェアに見られたセキュリティ問題(30件以上)を修正し、アップデート版をリリースした(詳細情報は、いくつもの言語で提供されているが現時点において日本語のものはない)。
こうしたセキュリティ問題には、攻撃者がユーザーのOS Xマシーンで任意コードを実行できるようにするものが多々あるという。このためウォッチガードでは、このアップデートを重要なものと見なし、できる限り早急にアップデート版を導入することをすすめる。
今回修正された主なセキュリティ問題は次の通り。
アドレス帳の書式文字列 問題
[Address Book]は、ユーザーが連絡先を保管・管理するためのOS Xアプリケーションだ。アップルによると、この[Address Book]は細工されたURL処理に関与する書式文字列の問題を抱えているという。攻撃者は、細工したウェブサイトにユーザーを招き寄せ、このセキュリティ問題を悪用しユーザーの権限を得た状態で、そのユーザーのコンピューターでコードを実行することが可能になる。その後、攻撃者は他のセキュリティ問題を利用し、ユーザーのマシーンを完全にコントロールできるようになる(詳細についてはアップルのアップデート記事を参照)。
ColorSyncメモリー破壊の問題
[ColorSync]はOS Xのカラー管理ソフトウェアだ。この[ColorSync]は、画像ファイルに埋め込まれた細工済みのColorSyncプロフィール処理に関与する、未特定のメモリー破壊問題を抱えている。攻撃者はユーザーに悪性の画像を開かせたり、その画像をホストしているウェブサイトにユーザーを招き寄せることでこの欠陥を悪用し、ユーザーの権限を獲得した状態でユーザーのコンピューターで悪性コードを実行する。先と同様に、攻撃者は他の欠陥を悪用してユーザーのマシーンを完全にコントロールすることが可能になる(詳細についてはアップルのアップデート記事を参照)。
Safari RSSのメモリー破壊問題
OS Xのウェブ・ブラウザーである[Safari]にはRSSコンポーネントが搭載されている。これは、ユーザーが「WatchGuard Wire」のようなニュースを受信できるようにするものだが、SafariのRSSは細工されたRSSフィード処理に関与する未特定のメモリー破壊問題を抱えている。攻撃者が悪性のRSSフィードにユーザーを呼び寄せた場合、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行することができるようになる。その後、攻撃者は他のセキュリティ問題を悪用し、そのコンピューターを完全にコントロールすることが可能になる。
アップルがリリースしたアラートは、この他にも28件のセキュリティ問題について説明している。その中には、上述した他にコード実行の欠陥に関する問題が多々ある。その他のセキュリティ問題には、サービス拒否(DoS)の問題、権限の昇格問題、クロスサイト・スクリプティング(XSS)問題、他などがある。このセキュリティ・アップデート修正プログラムでは、次のコンポーネントもカバーされている。
詳細についてはアップルがリリースしたアラート(英語)を参照することをすすめる。
アップルは、これとは別のセキュリティ情報でウィンドウズのベータ版用、Safari 3 のXSSセキュリティ問題を修正している。詳細についてはアップルがリリースしたウィンドウズ用のSafariに関するアラート(英語)を参照すること。ネットワークでSafari 3を使用している場合は、修正プログラムをインストールすることをすすめる。
【対策】
アップルは、OS X バージョン10.4.11とバージョン10.5.1を対象に、セキュリティ問題を修正したプログラムをリリースしている。OS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてからインストールすることをすすめる。
ダウンロード先(日本語版対応):
・セキュリティ・アップデート 2007-009 (10.4.11 Universal) [DMG ファイル]
・セキュリティ・アップデート 2007-009 (10.4.11 PPC)[DMG ファイル]
セキュリティ・アップデート 2007-009 (10.5.1)[DMGファイル]
注意:使用しているOS Xバージョンに対応する修正プログラムがどれかわからない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、状況に適したアップデートを自動的にインストールすることをすすめる。
全ユーザー:
こうしたセキュリティ欠陥は、様々な悪用方法をサポートする。中にはローカルのもの、つまりペリミター・ファイアウォールが攻撃に直面しないものもある(社内の部署間にファイアウォールを設置している場合は別)。もっとも安全な対策は、このアップデートをインストールすることである。
【ステータス】
アップルはこの問題を修正したアップデート版をリリースしている。
【参考資料】
アップルによるOS Xアドバイザリー(12月)
(日本語訳はまだ掲載されていない)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
危険度:高
日付:2007年12月18日
対象
・OS X 10.4.x (Tiger) / 10.5.x (Leopard)
悪用法
・細工したウェブサイトにユーザーを招き寄せたり仕掛けファイルをユーザーに開かせたりするなど、複数の攻撃方法あり。
影響
・セキュリティ欠陥(30件):結果は様々。攻撃者はユーザーのコンピューターでコードを実行したり、コンピューターの完全コントロール権を獲得する。
対策
・アップルのセキュリティ・アップデート[2007-009]をインストールすること。
【問題の詳細】
米国時間の12月18日、アップル社はOS Xバージョン10.4.xとバージョン10.5.xの一部として搭載されているSafari・Mail・iChat などのソフトウェアに見られたセキュリティ問題(30件以上)を修正し、アップデート版をリリースした(詳細情報は、いくつもの言語で提供されているが現時点において日本語のものはない)。
こうしたセキュリティ問題には、攻撃者がユーザーのOS Xマシーンで任意コードを実行できるようにするものが多々あるという。このためウォッチガードでは、このアップデートを重要なものと見なし、できる限り早急にアップデート版を導入することをすすめる。
今回修正された主なセキュリティ問題は次の通り。
アドレス帳の書式文字列 問題
[Address Book]は、ユーザーが連絡先を保管・管理するためのOS Xアプリケーションだ。アップルによると、この[Address Book]は細工されたURL処理に関与する書式文字列の問題を抱えているという。攻撃者は、細工したウェブサイトにユーザーを招き寄せ、このセキュリティ問題を悪用しユーザーの権限を得た状態で、そのユーザーのコンピューターでコードを実行することが可能になる。その後、攻撃者は他のセキュリティ問題を利用し、ユーザーのマシーンを完全にコントロールできるようになる(詳細についてはアップルのアップデート記事を参照)。
ColorSyncメモリー破壊の問題
[ColorSync]はOS Xのカラー管理ソフトウェアだ。この[ColorSync]は、画像ファイルに埋め込まれた細工済みのColorSyncプロフィール処理に関与する、未特定のメモリー破壊問題を抱えている。攻撃者はユーザーに悪性の画像を開かせたり、その画像をホストしているウェブサイトにユーザーを招き寄せることでこの欠陥を悪用し、ユーザーの権限を獲得した状態でユーザーのコンピューターで悪性コードを実行する。先と同様に、攻撃者は他の欠陥を悪用してユーザーのマシーンを完全にコントロールすることが可能になる(詳細についてはアップルのアップデート記事を参照)。
Safari RSSのメモリー破壊問題
OS Xのウェブ・ブラウザーである[Safari]にはRSSコンポーネントが搭載されている。これは、ユーザーが「WatchGuard Wire」のようなニュースを受信できるようにするものだが、SafariのRSSは細工されたRSSフィード処理に関与する未特定のメモリー破壊問題を抱えている。攻撃者が悪性のRSSフィードにユーザーを呼び寄せた場合、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行することができるようになる。その後、攻撃者は他のセキュリティ問題を悪用し、そのコンピューターを完全にコントロールすることが可能になる。
アップルがリリースしたアラートは、この他にも28件のセキュリティ問題について説明している。その中には、上述した他にコード実行の欠陥に関する問題が多々ある。その他のセキュリティ問題には、サービス拒否(DoS)の問題、権限の昇格問題、クロスサイト・スクリプティング(XSS)問題、他などがある。このセキュリティ・アップデート修正プログラムでは、次のコンポーネントもカバーされている。
| CFNetwork | Core Foundation |
| CUPS | Desktop Services |
| Flash Player Plug-in | GNU tar |
| iChat | IO Storage Family |
| Launch Services | |
| perl | python |
| Quicklook | ruby |
| Safari | Samba |
| Shockwave Plug-in | SMB |
| Software Update | Spin Tracer |
| Spotlight | tcpdump |
| XQuery |
詳細についてはアップルがリリースしたアラート(英語)を参照することをすすめる。
アップルは、これとは別のセキュリティ情報でウィンドウズのベータ版用、Safari 3 のXSSセキュリティ問題を修正している。詳細についてはアップルがリリースしたウィンドウズ用のSafariに関するアラート(英語)を参照すること。ネットワークでSafari 3を使用している場合は、修正プログラムをインストールすることをすすめる。
【対策】
アップルは、OS X バージョン10.4.11とバージョン10.5.1を対象に、セキュリティ問題を修正したプログラムをリリースしている。OS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてからインストールすることをすすめる。
ダウンロード先(日本語版対応):
・セキュリティ・アップデート 2007-009 (10.4.11 Universal) [DMG ファイル]
・セキュリティ・アップデート 2007-009 (10.4.11 PPC)[DMG ファイル]
セキュリティ・アップデート 2007-009 (10.5.1)[DMGファイル]
注意:使用しているOS Xバージョンに対応する修正プログラムがどれかわからない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、状況に適したアップデートを自動的にインストールすることをすすめる。
全ユーザー:
こうしたセキュリティ欠陥は、様々な悪用方法をサポートする。中にはローカルのもの、つまりペリミター・ファイアウォールが攻撃に直面しないものもある(社内の部署間にファイアウォールを設置している場合は別)。もっとも安全な対策は、このアップデートをインストールすることである。
【ステータス】
アップルはこの問題を修正したアップデート版をリリースしている。
【参考資料】
アップルによるOS Xアドバイザリー(12月)
(日本語訳はまだ掲載されていない)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。