MOAB総括 — Mac OS X非依存編 18
ストーリー by yourCat
HREFTrackオフ機能希望 部門より
HREFTrackオフ機能希望 部門より
the Month of Apple Bugs (MOAB) が終わったようなので、改めて個別に脆弱性の内容と対策を3回に分けて見ていく。なお、Landon Fuller氏のblogおよびMOAB Fix Groupにて検証とパッチの開発を行っているので、詳細を知りたい向きは参照されたい。その他、各種セキュリティー・アドバイザリーの情報もできるだけ盛り込んである。そのためMOABとはやや内容が異なる場合もある。
「怪しいファイル (リンク・メール含む) は開かない」「webブラウザーなどの、ダウンロードしたファイルを自動で開く機能を使わない」といった基本的な対策は割愛した。Mac OS X上では、いくつかの問題はMOAB Fix Groupで開発しているMOAB修正パッチ (APE用モジュール) で修正できる (現時点で最新リリース版は27-1、apeと付く方はビルド済み、svnあり)。
影響の広さを鑑みて、Mac OS X以外のプラットホームにも影響のある問題から。
(つづく...)
- MOAB-01-01-2007: QuickTimeのrstpハンドラにスタック・オーバーフローの脆弱性
対象: QuickTime 7.1.3 (Mac OS X/Windows)。以前のバージョンも影響の恐れあり。
概要: RTSP (Real Time Streaming Protocol) ハンドラに299バイト以上 (SA23540では256バイト) の不正なsrcパラメーターを渡すと、スタックでバッファー・オーバーフローを引き起こす。
対策: AppleのSecurity Update 2007-001を適用する。 - MOAB-02-01-2007: VLC media playerにフォーマット・ストリング脆弱性
対象: VLC 0.8.6以前 (Mac OS X/Windows/Linux/BSD)
概要: CDDA/VideoCD用プラグインに不正なC文字列を渡し、エラー処理で libcdio を呼び出すと、LOGハンドラのフォーマット・ストリング脆弱性によりリモート攻撃を許す危険がある (VideoLAN SA0701)。Debian DSA-1252-1、Gentoo Linux GLSA 200701-24 / vlc、SUSE-SA:2007:013 (xine、CVE-2007-0017参照) にも情報がある。
対策: 問題を修正したVLC 0.8.6a以降を使う。 - MOAB-03-01-2007: QuickTimeのHREFTrackにクロスゾーン・スクリプティング脆弱性
対象: QuickTime 7.1.3 (Mac OS X/Windows)。以前のバージョンも影響の恐れあり。
概要: MySpaceでのフィッシング・ワーム問題の原因 (Quicksapeワーム) になったXSS脆弱性が、ゾーンをまたいでも発生する。これにより、リモートからローカル・ファイルへアクセスできる恐れがある。GNUCITIZENも参照のこと。
対策: AppleはQuickspaceワーム以来、公式にはこの問題に関してQuickTimeの修正をしていない。Windows上では、問題が修正されるまでQuickTime ActiveXを止める、関連付けを外す、JavaScriptをオフにする、いっそアンインストールするなど (US-CERT VU#304064)。MOAB修正パッチ対応済み。 - MOAB-06-01-2007: PDF 1.3のカタログ・ハンドラに不特定の脆弱性
対象: Mac OS Xの全てのバージョン、Adobe Acrobat Reader 3.0-7.0.8 (Mac OS X/Windows/Linux)、Xpdf 3.0-3.0.1 (patch 2)、Poppler 0.4.1-0.5.4、KDE 3.2.0-3.5.5、KOffice 1.2-1.6.1 (kpdf、KDE Security Advisory参照)、その他PDFを扱うアプリケーション (Bugtraq ID: 21910)。
概要: 脆弱性はPDFを処理するソフトにより異なる。
対策: Adobe Reader 8.xは、現状では問題を起こすケースが確認されていない。Adobe Reader 7.0.8以下には他にもいろいろ見つかっている (SA23666および関連リンク参照) ので、なるべく新しいバージョンを使う。KDE 3.5.6は安全。MOAB修正パッチ対応済み。 - MOAB-10-01-2007: UFSのDMGマウントに不正なボリューム名でのDoS攻撃脆弱性
対象: Mac OS X 10.4.8 (以前のバージョンにも同様の恐れ)FreeBSD 6.1
概要: ffs_mountfs() 関数にintegerオーバーフロー脆弱性があり、DoS攻撃やリモート攻撃が可能。
対策: FreeBSDではDMGイメージは扱わないしマウントはrootなので、事実上脆弱性として機能しない。MOAB修正パッチで警告ダイアログを出せる。 - MOAB-12-01-2007: UFS DMGハンドリングにDoS攻撃の脆弱性
対象: Mac OS X 10.4.8 (以前のバージョンにも同様の恐れ)、FreeBSD 6.1
概要: ufs_dirbad() 関数 (SA23721参照) に不正なディレクトリ構造を渡すことでDoS攻撃が可能。今回は ufs_lookup() 関数から呼び出した場合。
対策: FreeBSDではDMGイメージは扱わないしマウントはrootなので、事実上脆弱性として機能しない。MOAB修正パッチで警告ダイアログを出せる。
誤解を恐れずに聞いてみるしかない (スコア:1, すばらしい洞察)
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
MOAB-10-01-2007: DMGの脆弱性
の公式な対策が出ていないようですがこれは単に対策に時間がかかっているだけのような。
#あとは「旧バージョンを使うな」「SecurityUpdateは常に最新に」というお約束ばっかり。
AppleはSecurityUpdateを年8回くらいのペースで自動配布しているのでそのうちそれに
含めてリリースされる気が。
MOABはそれを待てない人のためのまとめサイトと認識したほうがいいでしょう。
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
HREFTrackの現在の動作を、Appleが「機能」だというのは、まあ分からなくもありません。XSS脆弱性を抱えたwebサイトがあったとして、それはwebブラウザーの機能だからwebサイト側でなんとかしろ、というのにちょっとだけ似ています。
問題はクロス・ゾーン・スクリプティングまで「機能」なこと、「なんとかしろ」といわれているのが事実上ユーザーなこと、そしてHREFTrackをオフにするオプションがないことです。MOAB修正パッチで抑制できますし、MySpace内ではAppleの公式パッチが配布されたという報道もあります。察するに、Appleはこれを現時点で公式に盛り込めない理由があるのでしょう。例えばiTunes Storeでがんがん使ってしまっているとか (憶測です)。それならそれで、オプション設定の提供をすべきだと思いますけれどね。
MOAB-10-01-2007: DMGの脆弱性
Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。
MOAB Fix Groupは、MOABの終わりの方はスルーしています。APEで対応できる範囲ではないといえばそれまでですが、会話の様子から、現在Appleとの共同作業に移っているのではないでしょうか。Leopardではこういう問題に何らかの手を打つ (MOAB Fix Groupのshawnca氏 [google.com]) という話もありますが、それを10.4.9 (10.3.10も?) に織り込むべく努力中…と期待しています。
Re:誤解を恐れずに聞いてみるしかない (スコア:0, 参考になる)
Mac OS Xが実はWindowsに負けず劣らずボロボロの脆弱性を
抱えていることは認めるわけにはいかないのでは?
嘘の広告、誇大広告ということになってしまいますよね。
MySpaceで猛威を奮ったQuickTimeの脆弱性に対して、
正当な機能であると主張して認めなかったし。
バグは仕様、脆弱性も機能のうちってことです。
MacOSX 表記に着目 (スコア:2, 興味深い)
いや、よーく見ると「MacOSX」という表記なので、Mac OS X のことをよく知らない人が書いたんでしょう;-);-)
# Apple のパッチを当てたら余計に不具合が起きたなんて今まで何度あったことか……。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, おもしろおかしい)
まあ安全っていいきっちゃうのは確かにアレだが
> ・MSのパッチを当てても危険なWindows
こっちは間違いでは無い気はするw
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 興味深い)
モデレータよ。もっとまともになれ。
Appleは数々の脆弱性をこれまでにも修正してきましたが、
修正がいい加減で、直りきらなかったことは何度かあります。
QuickTime の脆弱性などは、Mac OS X版は修正できたものの、
Windows版は修正しきれずいい加減なものでした。
Windowsのことを悪く言うことでMac OS Xがまともであると
問題のすり替えをしようとしているみたいですが、
何の説得力も無いです。
iPodにウイルスを入れて販売したり、Windows版のQTの脆弱性を
放置しておきながら「Windowsは危険」なんて言ってるんだから、
恥ずかしい会社ですよ。
ソニーが、バッテリーセルの欠陥によってDELLのノートパソコンを
危険なノートパソコンにさせておきながら、そのソニーが
「DELLのノートパソコンは炎上するから危ないですよ、
VAIOなら炎上しなくて安全です」って宣伝してるようなものです。
ココのコミュニティでは、Apple擁護のためにWindows批判を
書いておきさえすればプラスモデされるので、Windows批判に
すり替えようとしているんでしょうけど、姑息ですね。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, 興味深い)
物凄い価格でボッタくりながら、いつまでたってもバグフィクスしないでいて、
結局ハード生産ラインにも金をかけすぎたんだろうな、会社ごと潰してしまった。
だけど、コンピュータはどうやれば使いやすいかを一番良く知ってるのはいまだにアイツだ。
パーソナルコンピューティングにおいて、奴を超える預言者、ヴィジョナリーは
まだ存在していないと思うよ。
最近、アラン・ケイが$100パソコンあたりで頑張っているので楽しみだけど。
Re:誤解を恐れずに聞いてみるしかない (スコア:1, 興味深い)
知らないからなのでしょう。
プログラムが完璧なメーカなんてまず一つもない。
バグや脆弱性が皆無のものもないという当たり前の現状
を認められないで、Apple批判の為のコメント、しかも
根拠の無いいい加減なことに対してプラスモデってのは
おかしい。まるでWindowsやMSのパッチが必ずまともで
あるかのような擁護発言は全く酷いとしか言いようがない。
Windowsが危険であるという事実と、MOABは無関係な
のでオフトピックだ。
Re:誤解を恐れずに聞いてみるしかない (スコア:0)
で… (スコア:1, すばらしい洞察)
# ゆーにゃさん頑張り過ぎないように。
気になる… (スコア:1)
何でゲイツ氏はこんなマイナーなOSのマイナーなプロジェクトを知ってたんだろうw
しかも、認識が微妙に事実と異なってるしw
Re:気になる… (スコア:1)
MOABのメンバーは、MOABの前にMOKB (the Month of Kernel Bugs) をやっていて、Windows GDIのローカル権限昇格脆弱性 [info-pull.com]を発表したことがあるので、知っていてもおかしくはないです。MOKBはWindowsの脆弱性はこれ1つしか発表していないので、「Windowsマシンの場合、そのような脆弱性は月に一度見つけらるかどうかだろう」の部分は根拠があります (発表できないだろう、が正確ですが)。
CNETの記事は微妙にミスリードなので、元になったNewsweekのインタビュー記事 [msn.com]をどうぞ。Gates氏も年を取ったなあという印象を持つかもしれませんが。
Re:気になる… (スコア:0, フレームのもと)
血眼になって探したMOABでも結局見つからず、Appleのソフト
にはなかった訳です。細かいセキュリティパッチは随時出すのが
Appleの方針で、それに対してMicrosoftは月例で数が多い。
スタックオーバーフロー? (スコア:0)
Re:スタックオーバーフロー? (スコア:1)