アカウント名:
パスワード:
その IT Proの記事 [nikkeibp.co.jp]は問題の切り分けが何だか曖昧なような。私見では、今回の脆弱性には(Mail.appの含め)問題が3つ。
Safariでは、「ダウンロード後、“安全な”ファイルを開く」場合でも、アプリケージョンやシェルスクリプトがファイルに含まれていれば本来なら警告を出す。しかし今回、これを回避してシェルスクリプトを実行させる方法が見つかった。
Mail.appでも、メールから添付ファイルを直接開くときには、その添付ファイルがアプリケーションやシェルスクリプトであれば警告を出す。しかし今回、これを回避してシェルスクリプトを実行させる方法が見つかった。また、実体がシェルスクリプトでもJPEGファイルなどに見せかけることができる。
PC WEBの記事 [mycom.co.jp]でも、「ZIPファイルに含まれる偽装メタデータ」とかあるのですが、このメタデータはFinderの「情報を見る」→「このアプリケーションで開く」で設定できるわけです。で、「ターミナル」で開くように指定するとファイルの種類も「ターミナル書類」となります。「ターミナル」で開くように明示的に指定された「ターミナル書類」が開かれたときに、「ターミナル」で実行されるのはまあ当然ですし、このメタデータはメタデータとして正常なので、ZIPやsitのアーカ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
Mac OS Xのセキュリティホール (スコア:3, 参考になる)
Re:Mac OS Xのセキュリティホール (スコア:1)
しかし、じゃあどうしろというのだという気もする…
--
Linux のデスクトップ環境とかではどうなんだろうな?
切り分け (スコア:4, 参考になる)
その IT Proの記事 [nikkeibp.co.jp]は問題の切り分けが何だか曖昧なような。私見では、今回の脆弱性には(Mail.appの含め)問題が3つ。
Safariでは、「ダウンロード後、“安全な”ファイルを開く」場合でも、アプリケージョンやシェルスクリプトがファイルに含まれていれば本来なら警告を出す。しかし今回、これを回避してシェルスクリプトを実行させる方法が見つかった。
Mail.appでも、メールから添付ファイルを直接開くときには、その添付ファイルがアプリケーションやシェルスクリプトであれば警告を出す。しかし今回、これを回避してシェルスクリプトを実行させる方法が見つかった。また、実体がシェルスクリプトでもJPEGファイルなどに見せかけることができる。
Re:切り分け (スコア:3, 興味深い)
PC WEBの記事 [mycom.co.jp]でも、「ZIPファイルに含まれる偽装メタデータ」とかあるのですが、このメタデータはFinderの「情報を見る」→「このアプリケーションで開く」で設定できるわけです。で、「ターミナル」で開くように指定するとファイルの種類も「ターミナル書類」となります。「ターミナル」で開くように明示的に指定された「ターミナル書類」が開かれたときに、「ターミナル」で実行されるのはまあ当然ですし、このメタデータはメタデータとして正常なので、ZIPやsitのアーカ
Re:切り分け (スコア:2, 興味深い)
# そして Terminal.app 以外のターミナルアプリケーションでも、Terminal.app で開くのと同じことができたりして
アイコンに関しては何でも貼りつけられるので、あまり関係ない気がします。でも、アイコンを信用するなという話にはなるかもしれません。
・古い Mac OS では拡張子に(あまり?)依存していなかったし、それは現在も引き継がれている。
・Mac OS X で、拡張子によるファイル識別を導入した。
このへんの関係がこなれていなかったのかなぁと思いました。
--
スクリプトだけじゃなくてコンパイルしたバイナリも開けられるみたいだ
Re:切り分け (スコア:1)
# Finder で自分で開く人までは面倒見なくていいと思うけど。