パスワードを忘れた? アカウント作成
6783 story

Mac OS X v10.2.8以前の3つの脆弱性公表 74

ストーリー by yourCat
放置プレイは勘弁 部門より

foryoolife曰く、"@Stakeが米AppleのMac OS X 10.2.8以前に存在していた脆弱性を公表した。内容は、1) コマンド引き数 (argv[]) のバッファーオーバーフロー、2) ファイルおよびディレクトリへのパーミッション (アクセス許可) の扱いの欠陥、3) 対話シェル経由でrootプロセス所有コア・ファイルへのアクセス可能、の3つ。未だにAppleからはパッチがリリースされていないため、もっとも有効な策はPantherにアップグレードするしかないようだ。"

確かにApple Security Updatesには、Pantherにて修正されたとの記述がある。更に、@Stake報告分以外の脆弱性も掲載されている。/.Jに10.2.8用パッチも出るとの情報が寄せられているものの、出るまでの間が気持ち悪い。10.2.8はごたごたしたが、その影響で遅れているのだろうか?

[Update: 2003年11月1日 06:00 JST] MacCentral宛に、この件に関するAppleの見解が送られた。曰く、"Appleは、重大な脆弱性に関しては、過去にリリースしたMac OS Xに対しても速やかに対応する方針であり、それはPanther発売後も変わらない。" 速やかではないから、これだけ大騒ぎになったのだが……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Appleユーザー的にはこういうのもありなの?
    Mac OS Xの脆弱性、Panther以外にパッチはなし? [zdnet.co.jp]

    iBook G4欲しかったんですけど、これくらいで萎える自分は資格なしなんでしょうね、きっと。
    • 一般ユーザの立場として見ればもちろん、過去の製品についてもちゃんとフォローして欲しい。けれど、技術者の立場として見ると、その手間とコストがかかるのは十分わかるので、今の対応で限界なのかな、という諦めもあります。

      本当はユーザがもっと声を上げて改善を求めることが大切なんでしょうけど、肝心のユーザが増えないことにはどうしようもないですね。今回の件にはかなりガッカリしましたが、Panther の開発と並行してできるほどのマンパワーはないと思います。

      ちなみに、Intel の四半期ごとの売り上げの増減 = Apple の市場シェア x 2 [zdnet.co.jp] だそうです。
      --

      -- cooper

      親コメント
      • >一般ユーザの立場として見ればもちろん、過去の製品についてもちゃんとフォローして欲しい。
        >けれど、技術者の立場として見ると、その手間とコストがかかるのは十分わかるので、今の対応で限界なのかな、という諦めもあります。

        技術者としての立場としても、一個前のバージョンにセキュリティパッチを提供しないにはどうかと思いますが…
        ま、アップルは小さい会社だから仕方ないとあきらめるか、それとも別なOSに乗り換えるかはユーザー次第だからユーザー以外がどういっても仕方ないことだけど、これを機にサポートポリシーを明確にするべきでしょうね。
        親コメント
      • > 今の対応で限界

        だとしたらOSメーカーとしては史上最悪ですね。
        今新品として売っているプロダクト [sofmap.com]ですらサポート外な訳でしょ。
        OS選択の自由がほぼ無い所にこれは、いくら宗教だとしても酷すぎやしませんか....
  • えっ (スコア:2, 興味深い)

    by minz (3213) on 2003年10月31日 4時37分 (#424291) ホームページ 日記
    これ、Macセクションローカルのネタなの?
    --
    みんつ
    • ApacheやOpenSSH、OpenSSL、BINDの脆弱性が公表されてから、Appleがパッチを出すまでに、今まではそれなりに時間がかかっていました (SU 2002-11-21の場合 [srad.jp])。カレント・バージョン以外用のパッチが遅れたことも過去にありました (SU2003-03-03の場合 [srad.jp])。これを問題視し、周知の脆弱性はもっと早く塞いでほしい旨は、/.Jの記事でも繰り替えし訴えてきたつもりです (対策を問う記事 [srad.jp])。
      今回の脆弱性は新しく発表された訳ではなく、Apple自らが既に発表していたものです。それはそれで大問題ですが (t_traceさんの#424433 [srad.jp]参照)。SU-2003-10-28の際 [srad.jp]に、Panther未満への対応を望む声があがっていました。

      既に話は出尽くしている感がありましたが、タレコミがありましたので敢えて記事に立てたものです。このため、ローカルが適当だと判断しました。
      親コメント
    • by patagon (1453) on 2003年10月31日 9時04分 (#424341) 日記
      私は(も?)トップネタでお願いしたいです。
      親コメント
    • by GPH (8223) on 2003年10月31日 18時38分 (#424793) 日記
      事が事だけにトップでもセキュリティでも良いとは思うんですが、
      なにしろ既に424388みたく出ちゃってるように、否定発言だけならまだしも如何にも煽りを意図している書き方がでたり、
      それに反応してしまうのが居たりと、此の手の話には大抵邪魔なモノが入り込む癖がある為慎重なほうが良いかと。

      否定コメントが「荒らし」モデレートされているというのは目立つだけにこっちも気分が複雑。ただまあ如何にも「困りそうな」ネタに発言する以上、ネタ関連以外で怒りを買いそうな言葉は抜いたほうが無難でしょうが。

      多分、数週間待っても動きが無いようだったらフレーム解禁かという気はする。
      ジョブスは値段が安いんだから、ということで強気なのかもしれないが、10.3をMDD以上のマシンに放り込むとPDFの「画像」スクロールが最大50パーセント速度ダウン(なんとG5マシンで。Mac Fan記事より)というほうが気になる。
      親コメント
    • Re:えっ (スコア:0, 荒らし)

      by Anonymous Coward
      身内の恥は隠蔽しないと。
      否定的なコメントは全部「荒らし」になってるし。
      今回の対応を見るとMSってまともな会社だったんだなと思う。
      • by minz (3213) on 2003年10月31日 16時44分 (#424700) ホームページ 日記
        何でこれも「荒らし」なんだろーね。

        会社のほぼ全部がWindowsユーザーの環境でMac使い続けている
        俺なわけだが、なんでこういう広域なクライアントPCの脆弱性話
        題がセクションローカルなのか、不思議でならない。
        --
        みんつ
        親コメント
      • Re:えっ (スコア:0, すばらしい洞察)

        by Anonymous Coward
        どこがですか?MSが何年も放置しているセキュリティホールは
        いくつもあって、ずっと問題になってるけど?
        • by Anonymous Coward
          少なくとも、[パッチ出さないから新しいOS買え]なんてのは、売り出してから五年間は言ってないね。
        • by Anonymous Coward
          ぼっちゃん、MSの事言う前にパッチだしてもらいなよ。
      • by Anonymous Coward
        MSの対応に、Appleの対応よりも相対的にマシな部分があっても
        それはMSがまともな会社であることを保証しない。
        目くそ鼻くそを笑う・・・
  • by GPH (8223) on 2003年10月31日 10時30分 (#424398) 日記
    機械とOSバージョンがAT互換機に比べて非常に限定されて対応している所為のデメリットだなあ。G5対応のどさくさに出しちまえ、というのが無きにしもあらず。そんでもって古いものが後手後手に回ると。

    OS7.5.3時代からの伝統と言えば伝統なんだけど・・・。
    セキュリティ云々で此のやり方が不味くなったと言うのもUNIXパワアのなせる技??
    記事をトップに持って来いと言う声があるが、たとえ否定意見として傾聴に値するものが有ったとしても、案の定既に見られるように発言にもコメントにも煽りに取られるような文句が付け加わってたりするので、セキュリティネタとしてトップに持ってくるのは辛そうだ。
  • by Anonymous Coward on 2003年10月31日 12時32分 (#424509)
    先日のBSDカンファレンス2003 [bsdcon.jp]で、「10.2系列の今後のサポートはどうなるのか?」という質問に対してアップルの社員の方が「10.2系列は今後も並行して販売するので、サポートは続ける」というようなことを言ってませんでしたっけ?>参加された方々。
    その時のビデオも撮られてましたよね?>スタッフの方々。
    • >10.2系列は今後も並行して販売するので、サポートは続ける
      言ってました。
      あとは、公式な発表が欲しいですね。
  • スレ違いだけど貼っときます。
    プロダクト サポート ライフサイクル [microsoft.com]
    Windows デスクトップ製品のライフサイクル
    [microsoft.com]
    プロダクト サポート ライフサイクルを製品毎に探す [microsoft.com]
    Internet Explorer ライフサイクル ウィザード: 選択(Internet Explorerにチェックを入れてクエリの実行) [microsoft.com]

    Appleを知らなかったんですが、こういうのってAppleにはないんですか?
    もしそうなら企業では使いにくそうなんですけど。使用者の想定がMSとAppleではもともと違うのかな? 企業には売る気無い?
  • いつも思うんだけど、 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年10月31日 15時43分 (#424671)
    Appleを擁護する発言には「すばらしい洞察」。
    Appleに対して否定的な発言には「荒らし」
    しかもモデがすげー速い。
    windowsユーザってOSを道具でしか見てない部分があるので
    ここまで強烈にされると軽い嫌悪感。
    • >ここまで強烈にされると軽い嫌悪感。

      マカーですが、賛成。でも、

      >windowsユーザってOSを道具でしか見てない部分があるので

      十把一絡げに言い切っていいの?ここについては同意できない。
      --
      nobuo * Who's gonna die first? *
      親コメント
  • MSセクション希望 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年10月31日 19時46分 (#424828)
    荒れるからセクションローカルでって意見が多いんだけど、それなら荒れまくっているMS関係セキュリティストーリーのためにMSセクションを作ってくださいませ。
    オリバたんよろしくお願いします。
  • by Anonymous Coward on 2003年10月30日 23時05分 (#424127)
    Appleぼろぼろだな...
    MSの二の舞を踏まない努力はしないのだろうか?
    • Microsoftのように、製品ライフサイクルを明確に設定し、一定限度で過去の製品へのアップデートを行うことができていないことが問題なのです。
      Microsoftを見習っていればこの脆弱性はこのような問題にならなかったことでしょう。
      親コメント
      • さすがのMSも最新バージョンでないものを容赦なく切るということはやってないけどねー
      • 問題になっていないことを勝手に問題なのですという方が問題です。
        どのOSでも脆弱性はいつでも問題になり、アップデートをどうするかは
        OS提供者とユーザ次第。提供されなければどうしようもないと言う人も
        いるだろうけど、提供してもアッ
        • by t_trace (6746) on 2003年10月31日 11時22分 (#424433) 日記
          >無責任に勝手に脆弱性を公開することも問題だし、
          今回発表された脆弱性は、既にAppleによって発表されています。
          http://lists.apple.com/mhonarc/security-announce/msg00038.html
          Apple当人が発表しているので発見者も追従しただけでしょう。
          無責任なのはパッチが存在しないのに脆弱性を公開したAppleです。

          >アップデートが出るというのに勝手に決めつけてMS見習えってのは変だよ。
          BSDconで日本の総代理店がリップサービスしたという上記の事例以外に、アップデータが出るというソースがあれば教えていただきたい。
          オープンレビューに耐えないソースをもとに、出る、出ないのはなしをしても無意味でしょ。
          現在の状況はパッチが出るかどうかはわからない、という状態です。

          OSのサポートポリシー [ryukoku.ac.jp]でライフサイクルが指定されていないMac OS Xがいかに異常かわかります。
          品質はともかく、ポリシーとして自らを律する努力に関して、Microsoftはよくやっていると思います。
          Appleにはこれがない。それが問題だといっているのです。
          親コメント
          • 10.2.8の脆弱性はAppleは発表していません。読めば分かることを見てないのですか?
            アップルってそれが不評の1つですが、全くリップサービスなんてしない組織ですね。
            決まっていることすら事前に一般に発表しない一貫した方針なのは、周知のこと。
            10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言が
            あったのならソースがあれば教えていただきたい。

            • >10.2.8の脆弱性はAppleは発表していません
              親コメントにリンクを張ったんですが、読んでいただけなかったようですね。
              APPLE-SA-2003-10-28 Mac OS X 10.3 Panther [apple.com]でJaguarでのセキュリティ「強化」についてのレポートが掲載されています。
              半分ほどは確かにセキュリティ強化といってもいい内容だと思いますが、今回@Stakeが発表した3つの脆弱性の修正も含まれています。
              CAN-2003-0876がSystemic Insecure File Permissions [atstake.com]
              CAN-2003-0877がArbitrary File Overwrite via Core Files [atstake.com]
              CAN-2003-0895がLong argv[] Buffer Overflow [atstake.com]
              ちょっと読めばわかることですけど。

              >一般的に自らを律する努力を一番やっていないMicrosoftがよくやっているなんて思ってるの?
              「製品をいつまでサポートします」と外部に公表すら行っていないAppleと、出しているMicrosoftを比較したときに、
              Microsoftは少なくとも、守れないときに受けるユーザや社会からの不信感のリスクを踏まえて、ライフサイクルを公表しています。
              変更に次ぐ変更があってユーザが不信感を持っているなら自業自得でしょう。
              Appleはそれすらやっていないということです。
              サーバを含む製品を販売している企業としては異常ではないですか?
               #私は、個人的にこの異常な企業の出すOSに、これを超えるだけのメリットを
               #感じているからマカをやっているわけです。ま、いわゆる信者ですな(w

              >10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言があったのならソースがあれば教えていただきたい。
              私は「現在の状況はパッチが出るかどうかはわからない、という状態です。 [srad.jp]」と書いています。
              出るとも出ないとも言っていません。

              Jaguarの脆弱性をAppleみずからが発表し、Jaguarを使っているユーザを危険な状態に陥れたことも、親コメントで語っていないもう一つの問題です。
              もしパッチが公開されるならば、Jaguarのパッチが公開されてから上記のSAを出せば、誰も問題にはしなかったでしょう。
              親コメント
            • だれか標準的な日本語に訳してくれー。
        • > 問題になっていないことを勝手に問題なのですという方が問題です。

          米アップル、旧OS X用のパッチはなし--対応に批判の声も [cnet.com]
          Apple patches Panther but not older OS [com.com]

          問題扱いされているようですが。
    • Re:率直な感想. (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年10月30日 23時48分 (#424158)
      ×MSの二の舞を踏まない
      ○MSの二の舞いにならない
      ○MSと同じ轍を踏まない

      ていうか意味が全然通らないでしょ(笑
      親コメント
    • by Anonymous Coward
      >MSの二の舞を踏まない努力はしないのだろうか?

      二の舞っていうか、MS以下。
  • by Anonymous Coward on 2003年10月31日 10時25分 (#424396)
    これがAppleの新ビジネスモデルです。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...