OS XとOS X Javaアップデートが50件以上のセキュリティ問題を修正 2009年2月13日
OS XとOS X Javaアップデートが50件以上のセキュリティ問題を修正
危険度:高
2009年2月13日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
悪質なムービー、ドキュメント、ウェブ・フィードなどをユーザがダウンロードし閲覧するように誘導するなど、様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はセキュリティ・アップデート2009-001と、それに相当するOS X Javaアップデートをダウンロードしテストしてからインストールすること
【詳細】
米国時間の2月12日アップルはOS Xの脆弱性を修正するセキュリティ・アップデートを3件公開した。詳細についてはアドバイザリを参照。 OS Xセキュリティ・アップデートは、CFNetwork、fetchmail、Safari RSSなどOS X の一部として搭載されているソフトウェア・パッケージのセキュリティ問題およそ48件を修正している(数字はCVE-IDの情報による)。 脆弱性の中にはユーザのOS Xで攻撃者がコードを実行できるように許可してしまうものもあるため、ライブセキュリティではこのアップデートを重要と評価しており、できる限り早急にアップデートをインストールすることをすすめている。また、修正された脆弱性の中には下記3件も入っている。
Apple Pixletビデオ・メモリ破壊の問題
Pixletビデオ・コーデックは、Pixarが使用する特定のビデオ・フォーマットをOS Xが処理する際に役立つが、その種のビデオを処理するコンポーネントがPixletフォーマット・ムービーに関与する未特定のメモリ破壊問題の影響を受けている。攻撃者は、ユーザが悪質なPixletムービーをダウンロードし閲覧するように誘導すると、この欠陥を悪用しユーザのコンピュータでコードを実行できるようになる。 標準設定により、攻撃者はユーザの特権を持ってコードを実行するが、アップルのアラートで説明されている別の欠陥を利用して自分の権限を昇格させ、ユーザのMacを完全に操作できるようになる可能性もある。
ClamAV問題(複数あり)
OS Xアップデートは、アップルのOS X サーバに搭載されているオープン・ソースのウィルス対策パッケージに見られるClamAV未特定問題(2件)も修正している。アップルによると、中でももっとも深刻な問題は、攻撃者がOS X サーバで任意コードを実行できるようにしてしまうという。攻撃者は、不正作成したメールをユーザに送信したり、悪質な添付ファイルを付けたメールを送信することでこの欠陥を悪用するものと我々は見ている。
CarbonCoreビデオのメモリ破壊問題
OS XフレームワークのコンポーネントであるCarbonCoreは、 OS Xシステムの特定ファイルの管理面を処理する機能だが、不正ファイル(特に悪質なリソース・フォークを含むファイル)を処理する方法に関与する未特定のメモリ破壊問題の影響を受けている。悪質なファイルをユーザがダウンロードし閲覧するように誘導すると、攻撃者はこの欠陥を悪用してユーザの権限を利用、そのユーザのコンピュータでコードを実行できるようになる。 攻撃者はアップルのアラートで説明されている別の欠陥を利用して自分の権限を昇格させ、ユーザのMacを完全に操作できるようになる可能性がある。アップルがリリースしたアラートにはその他にもサービス拒否(DoS)の問題、権限昇格の問題、情報開示の問題、クラッシュ脆弱性などがある。また、アップデートではパフォーマンス問題も修正している。
今回のセキュリティ・アップデートで修正されたコンポーネントは次の通り:
詳細についてはアップルのOS Xアラートを参照。
アップルはOS X 10.4と10.5に搭載されているJavaコンポーネントをアップデートするアドバイザリ2件 [ 1 / 2 ] もリリースしている。このアラートは、OS XのJavaコンポーネントに見られるいくつかの未特定問題について説明している。アップルのアドバイザリによると、攻撃者はJavaの脆弱性の中でも悪質な問題を悪用し、任意コードの実行やユーザのOS Xでのコード実行、権限昇格などもできるという。欠陥を悪用する場合、攻撃者は不正のJavaコードを入れた有害なウェブページにOS Xユーザを誘導するだけで欠陥を悪用することができる。このため、状況に適したOS X Javaのアップデートも必ずインストールすることをすすめる。
【対策】
アップルはセキュリティ問題を修正するOS Xセキュリティ・アップデート2009-001をリリースしているので、OS X管理者は相当するアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
日本語版対応:
注意:
使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
この欠陥は様々な悪用方法を有効にすることができる。ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
OS X セキュリティ・アップデート 2009-001
Java:Mac OS X 10.5 アップデート 3
Java: Mac OS X 10.4 リリース8
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年2月13日
【概要】
対象:
OS X 10.4.x (Tiger) /OS X 10.5.x (Leopard) クライアント版とサーバ版
攻撃方法:
悪質なムービー、ドキュメント、ウェブ・フィードなどをユーザがダウンロードし閲覧するように誘導するなど、様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
OS Xの管理者はセキュリティ・アップデート2009-001と、それに相当するOS X Javaアップデートをダウンロードしテストしてからインストールすること
【詳細】
米国時間の2月12日アップルはOS Xの脆弱性を修正するセキュリティ・アップデートを3件公開した。詳細についてはアドバイザリを参照。 OS Xセキュリティ・アップデートは、CFNetwork、fetchmail、Safari RSSなどOS X の一部として搭載されているソフトウェア・パッケージのセキュリティ問題およそ48件を修正している(数字はCVE-IDの情報による)。 脆弱性の中にはユーザのOS Xで攻撃者がコードを実行できるように許可してしまうものもあるため、ライブセキュリティではこのアップデートを重要と評価しており、できる限り早急にアップデートをインストールすることをすすめている。また、修正された脆弱性の中には下記3件も入っている。
Apple Pixletビデオ・メモリ破壊の問題
Pixletビデオ・コーデックは、Pixarが使用する特定のビデオ・フォーマットをOS Xが処理する際に役立つが、その種のビデオを処理するコンポーネントがPixletフォーマット・ムービーに関与する未特定のメモリ破壊問題の影響を受けている。攻撃者は、ユーザが悪質なPixletムービーをダウンロードし閲覧するように誘導すると、この欠陥を悪用しユーザのコンピュータでコードを実行できるようになる。 標準設定により、攻撃者はユーザの特権を持ってコードを実行するが、アップルのアラートで説明されている別の欠陥を利用して自分の権限を昇格させ、ユーザのMacを完全に操作できるようになる可能性もある。
ClamAV問題(複数あり)
OS Xアップデートは、アップルのOS X サーバに搭載されているオープン・ソースのウィルス対策パッケージに見られるClamAV未特定問題(2件)も修正している。アップルによると、中でももっとも深刻な問題は、攻撃者がOS X サーバで任意コードを実行できるようにしてしまうという。攻撃者は、不正作成したメールをユーザに送信したり、悪質な添付ファイルを付けたメールを送信することでこの欠陥を悪用するものと我々は見ている。
CarbonCoreビデオのメモリ破壊問題
OS XフレームワークのコンポーネントであるCarbonCoreは、 OS Xシステムの特定ファイルの管理面を処理する機能だが、不正ファイル(特に悪質なリソース・フォークを含むファイル)を処理する方法に関与する未特定のメモリ破壊問題の影響を受けている。悪質なファイルをユーザがダウンロードし閲覧するように誘導すると、攻撃者はこの欠陥を悪用してユーザの権限を利用、そのユーザのコンピュータでコードを実行できるようになる。 攻撃者はアップルのアラートで説明されている別の欠陥を利用して自分の権限を昇格させ、ユーザのMacを完全に操作できるようになる可能性がある。アップルがリリースしたアラートにはその他にもサービス拒否(DoS)の問題、権限昇格の問題、情報開示の問題、クラッシュ脆弱性などがある。また、アップデートではパフォーマンス問題も修正している。
今回のセキュリティ・アップデートで修正されたコンポーネントは次の通り:
AFP Server |
Apple Pixlet Video |
CarbonCore |
CFNetwork |
Certificate Assistant |
ClamAV |
CoreText |
CUPS |
DS Tools |
fetchmail |
Folder Manager |
FSEvents |
Network Time |
perl |
Printing |
python |
Remote Apple Events |
Safari RSS |
servermgrd |
SMB |
SquirrelMail |
X11 |
XTerm |
|
詳細についてはアップルのOS Xアラートを参照。
アップルはOS X 10.4と10.5に搭載されているJavaコンポーネントをアップデートするアドバイザリ2件 [ 1 / 2 ] もリリースしている。このアラートは、OS XのJavaコンポーネントに見られるいくつかの未特定問題について説明している。アップルのアドバイザリによると、攻撃者はJavaの脆弱性の中でも悪質な問題を悪用し、任意コードの実行やユーザのOS Xでのコード実行、権限昇格などもできるという。欠陥を悪用する場合、攻撃者は不正のJavaコードを入れた有害なウェブページにOS Xユーザを誘導するだけで欠陥を悪用することができる。このため、状況に適したOS X Javaのアップデートも必ずインストールすることをすすめる。
【対策】
アップルはセキュリティ問題を修正するOS Xセキュリティ・アップデート2009-001をリリースしているので、OS X管理者は相当するアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。
日本語版対応:
- セキュリティ・アップデート2009-001 (Leopard)
- セキュリティ・アップデート2009-001(Server Leopard)
- セキュリティ・アップデート2009-001(Server Universal)
- セキュリティ・アップデート2009-001 (Tiger PPC)
- セキュリティ・アップデート2009-001 (Tiger Intel)
- セキュリティ・アップデート2009-001 (Server Tiger PPC)
注意:
使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用し、状況に適したアップデートを自動的に選ぶことができる。
全ユーザ対象:
この欠陥は様々な悪用方法を有効にすることができる。ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある(部署間でファイアウォールを使用している場合は別)。この欠陥は様々な悪用方法を有効にするため、アップデートをインストールすることが安全策となる。
【ステータス】
アップルは問題を修正するアップデートをリリースしている。
【参考資料】
OS X セキュリティ・アップデート 2009-001
Java:Mac OS X 10.5 アップデート 3
Java: Mac OS X 10.4 リリース8
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。