MOAB-10-01-2007: DMGの脆弱性 Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。
誤解を恐れずに聞いてみるしかない (スコア:1, すばらしい洞察)
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
MOAB-10-01-2007: DMGの脆弱性
の公式な対策が出ていないようですがこれは単に対策に時間がかかっているだけのような。
#あとは「旧バージョンを使うな」「SecurityUpdateは常に最新に」というお約束ばっかり。
AppleはSecurityUpdateを年8回くらいのペースで自動配布しているのでそのうちそれに
含めてリリースされる気が。
MOABはそれを待てない人のためのまとめサイトと認識したほうがいいでしょう。
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
HREFTrackの現在の動作を、Appleが「機能」だというのは、まあ分からなくもありません。XSS脆弱性を抱えたwebサイトがあったとして、それはwebブラウザーの機能だからwebサイト側でなんとかしろ、というのにちょっとだけ似ています。
問題はクロス・ゾーン・スクリプティングまで「機能」なこと、「なんとかしろ」といわれているのが事実上ユーザーなこと、そしてHREFTrackをオフにするオプションがないことです。MOAB修正パッチで抑制できますし、MySpace内ではAppleの公式パッチが配布されたという報道もあります。察するに、Appleはこれを現時点で公式に盛り込めない理由があるのでしょう。例えばiTunes Storeでがんがん使ってしまっているとか (憶測です)。それならそれで、オプション設定の提供をすべきだと思いますけれどね。
MOAB-10-01-2007: DMGの脆弱性
Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。
MOAB Fix Groupは、MOABの終わりの方はスルーしています。APEで対応できる範囲ではないといえばそれまでですが、会話の様子から、現在Appleとの共同作業に移っているのではないでしょうか。Leopardではこういう問題に何らかの手を打つ (MOAB Fix Groupのshawnca氏 [google.com]) という話もありますが、それを10.4.9 (10.3.10も?) に織り込むべく努力中…と期待しています。
Re:誤解を恐れずに聞いてみるしかない (スコア:0, 参考になる)
Mac OS Xが実はWindowsに負けず劣らずボロボロの脆弱性を
抱えていることは認めるわけにはいかないのでは?
嘘の広告、誇大広告ということになってしまいますよね。
MySpaceで猛威を奮ったQuickTimeの脆弱性に対して、
正当な機能であると主張して認めなかったし。
バグは仕様、脆弱性も機能のうちってことです。
MacOSX 表記に着目 (スコア:2, 興味深い)
いや、よーく見ると「MacOSX」という表記なので、Mac OS X のことをよく知らない人が書いたんでしょう;-);-)
# Apple のパッチを当てたら余計に不具合が起きたなんて今まで何度あったことか……。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, おもしろおかしい)
まあ安全っていいきっちゃうのは確かにアレだが
> ・MSのパッチを当てても危険なWindows
こっちは間違いでは無い気はするw
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 興味深い)
モデレータよ。もっとまともになれ。
Appleは数々の脆弱性をこれまでにも修正してきましたが、
修正がいい加減で、直りきらなかったことは何度かあります。
QuickTime の脆弱性などは、Mac OS X版は修正できたものの、
Windows版は修正しきれずいい加減なものでした。
Windowsのことを悪く言うことでMac OS Xがまともであると
問題のすり替えをしようとしているみたいですが、
何の説得力も無いです。
iPodにウイルスを入れて販売したり、Windows版のQTの脆弱性を
放置しておきながら「Windowsは危険」なんて言ってるんだから、
恥ずかしい会社ですよ。
ソニーが、バッテリーセルの欠陥によってDELLのノートパソコンを
危険なノートパソコンにさせておきながら、そのソニーが
「DELLのノートパソコンは炎上するから危ないですよ、
VAIOなら炎上しなくて安全です」って宣伝してるようなものです。
ココのコミュニティでは、Apple擁護のためにWindows批判を
書いておきさえすればプラスモデされるので、Windows批判に
すり替えようとしているんでしょうけど、姑息ですね。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, 興味深い)
物凄い価格でボッタくりながら、いつまでたってもバグフィクスしないでいて、
結局ハード生産ラインにも金をかけすぎたんだろうな、会社ごと潰してしまった。
だけど、コンピュータはどうやれば使いやすいかを一番良く知ってるのはいまだにアイツだ。
パーソナルコンピューティングにおいて、奴を超える預言者、ヴィジョナリーは
まだ存在していないと思うよ。
最近、アラン・ケイが$100パソコンあたりで頑張っているので楽しみだけど。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, 興味深い)
知らないからなのでしょう。
プログラムが完璧なメーカなんてまず一つもない。
バグや脆弱性が皆無のものもないという当たり前の現状
を認められないで、Apple批判の為のコメント、しかも
根拠の無いいい加減なことに対してプラスモデってのは
おかしい。まるでWindowsやMSのパッチが必ずまともで
あるかのような擁護発言は全く酷いとしか言いようがない。
Windowsが危険であるという事実と、MOABは無関係な
のでオフトピックだ。
Re:誤解を恐れずに聞いてみるしかない (スコア:0)