Secuniaが、Mac OS Xについてセキュリティ勧告を公開している。URIハンドラの"help"および"disk"に問題があり、悪意のあるウェブサイトを訪問することにより、外部から任意のスクリプトを実行されるおそれがある。Safari 1.2.1 (v125.1)およびInternet Explorer 5.2で問題が確認されたが、他のブラウザも攻撃に利用される可能性があるという。サンプルコードへのリンクが、MacNNの記事中にある。また、本家でもストーリーになっている。
私は、Gururiさんのコメント [srad.jp]にもある、/System/Library/CoreServices/Help Viewer.app/Contents/Info.plistにてNSAppleScriptEnabledをfalseとする方法で対処して、サンプルコードが実行されないのを確認しました。(Mac OS X 10.3.3 Safari 1.2、ヘルプビューワーが立ち上がるが、コマンドは実行されず。)
取りあえず取ってみた対策方法 (スコア:2, 参考になる)
MisFox [clauss-net.de]というアプリケーション(日本語Read meあり)で、Protocol Helpersの中の「help」二対応しているアプリケーションを適当な物に変えるという物。
上記本家コメントと同じくTextEditにしてみると、MacNNにリンクがあるサンプルページに入ってもTextEditが起動するだけでその後のコマンドは実行されませんでした。
Help Viewerから何かを起動するというのは可能なので、あまり支障も無さげでこれで少し安心。
ただし、サンプルページに書かれている様に
/Library/Documentation/Help/MacHelp.help/Contents/Resources/
English.lproj/shrd/OpnApp.scpt
の10行目が悪いって指摘もありますし、悪意ある「ヘルプファイル」を仕込まれちゃってそのヘルプファイルをHelp Viewerで見て、更にそこにある「~を開く(Open the application for me)」とかってのをクリックしてしまうと…。
URIハンドラとの合わせ技より遥かに安全でしょうけど:P。
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
Safariでなくとも実行されますた (スコア:1, 参考になる)
MacOSX10.3.3 Mozilla1.7RC2という環境です
何が悪いのか((((゚Д゚)))ガクガクプルブル
Re:Safariでなくとも実行されますた (スコア:1)
タレコミにあるMacNNの記事 [macnn.com]によれば、
とありますので、Gecko 系は全滅かもしれません。Firefox では試していませんが、私も Mac OS X 10.3.3 + (Mozilla 1.7rc2 or Camino 0.8beta) でサンプルスクリプトが実行されてしまうのを確認しました。
Safari がダメ、ということが KHTML がダメだということを意味するのであれば、OmniWeb 5 もダメかもしれませんね。
# OmniWeb 4 や iCab ではどうなんだろう。
Secunia のセキュリティ勧告 [secunia.com]は 05/19 付けで更新されていて、それによれば、
だそうです。う~む。
Re:Safariでなくとも実行されますた (スコア:1)
iCab 2.9.8 Eで試してみました。
サンプルページで「This is not good!」とは表示されますけど何も起こりませんでした。
#551892のあたしが書いたコメント [srad.jp]の対処方法をもっかい戻して(help=Help Viewer)やってみましたけどiCabではHelp Viewerも起動しませんでした。
iCabは入れたまんまであまり設定いじってないと思うので、大丈夫かも…。
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
書き忘れ… (スコア:1)
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
Re:Safariでなくとも実行されますた (スコア:1)
Bug 243699 [mozilla.org]ですね?Mozilla 1.7 final/1.8a1/Firefox 0.9では修正されているでしょう。
たいおうさく (スコア:1)
#つーてもその人はProperty List Editorで編集しろ、って書いてたけど。
管理者権限を持つユーザでTerminalから
sudo defaults write '/System/Library/CoreServices/Help Viewer.app/Contents/Info' NSAppleScriptEnabled -bool false
sudo chmod go+r '/System/Library/CoreServices/Help Viewer.app/Contents/Info.plist'
を実行するとHelpViewerでAppleScriptを実行できなくなるようです。元に戻すにはfalseをtrueに書き換えて実行。
なお、1行目がInfo.plistじゃなくInfoになっているのはtypoじゃありません。
また、2行目は本来644であるパーミッションが600になってしまうのを元に戻すためです。
日本語による情報 (スコア:1)
vmさんが、harden-mac MLにて、詳しく解説 [ryukoku.ac.jp]しておられます。続くスレッドにて対応策も出ております。
私は、Gururiさんのコメント [srad.jp]にもある、/System/Library/CoreServices/Help Viewer.app/Contents/Info.plistにてNSAppleScriptEnabledをfalseとする方法で対処して、サンプルコードが実行されないのを確認しました。(Mac OS X 10.3.3 Safari 1.2、ヘルプビューワーが立ち上がるが、コマンドは実行されず。)
Re:日本語による情報 (スコア:1)
vmさんが、はてなダイアリーの方でも解説 [hatena.ne.jp]しておられます。
# 一部では、10.3.4で修正されるのでは? [macslash.org]という噂もありますが、対処しておくにこしたことはないでしょう。
# アップデートする前に原状復帰しないといけないかもしれませんが。
せんせい、しつもんです (スコア:0)
Re:せんせい、しつもんです (スコア:1)
スキームってのはURIの頭の部分。
http:ハンドラは大抵Webブラウザです。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Intego (スコア:0)
# 最近の他の2件は個人的にはイマイチだし…。
Security Update 2004-05-24 (スコア:0)