パスワードを忘れた? アカウント作成
14621 story

MOAB総括 — Mac OS X非依存編 18

ストーリー by yourCat
HREFTrackオフ機能希望 部門より

the Month of Apple Bugs (MOAB) が終わったようなので、改めて個別に脆弱性の内容と対策を3回に分けて見ていく。なお、Landon Fuller氏のblogおよびMOAB Fix Groupにて検証とパッチの開発を行っているので、詳細を知りたい向きは参照されたい。その他、各種セキュリティー・アドバイザリーの情報もできるだけ盛り込んである。そのためMOABとはやや内容が異なる場合もある。
「怪しいファイル (リンク・メール含む) は開かない」「webブラウザーなどの、ダウンロードしたファイルを自動で開く機能を使わない」といった基本的な対策は割愛した。Mac OS X上では、いくつかの問題はMOAB Fix Groupで開発しているMOAB修正パッチ (APE用モジュール) で修正できる (現時点で最新リリース版は27-1、apeと付く方はビルド済み、svnあり)。

影響の広さを鑑みて、Mac OS X以外のプラットホームにも影響のある問題から。

(つづく...)

  • MOAB-01-01-2007: QuickTimeのrstpハンドラにスタック・オーバーフローの脆弱性
    対象: QuickTime 7.1.3 (Mac OS X/Windows)。以前のバージョンも影響の恐れあり。
    概要: RTSP (Real Time Streaming Protocol) ハンドラに299バイト以上 (SA23540では256バイト) の不正なsrcパラメーターを渡すと、スタックでバッファー・オーバーフローを引き起こす。
    対策: AppleのSecurity Update 2007-001を適用する。
  • MOAB-02-01-2007: VLC media playerにフォーマット・ストリング脆弱性
    対象: VLC 0.8.6以前 (Mac OS X/Windows/Linux/BSD)
    概要: CDDA/VideoCD用プラグインに不正なC文字列を渡し、エラー処理で libcdio を呼び出すと、LOGハンドラのフォーマット・ストリング脆弱性によりリモート攻撃を許す危険がある (VideoLAN SA0701)。Debian DSA-1252-1Gentoo Linux GLSA 200701-24 / vlcSUSE-SA:2007:013 (xineCVE-2007-0017参照) にも情報がある。
    対策: 問題を修正したVLC 0.8.6a以降を使う。
  • MOAB-03-01-2007: QuickTimeのHREFTrackにクロスゾーン・スクリプティング脆弱性
    対象: QuickTime 7.1.3 (Mac OS X/Windows)。以前のバージョンも影響の恐れあり。
    概要: MySpaceでのフィッシング・ワーム問題の原因 (Quicksapeワーム) になったXSS脆弱性が、ゾーンをまたいでも発生する。これにより、リモートからローカル・ファイルへアクセスできる恐れがある。GNUCITIZENも参照のこと。
    対策: AppleはQuickspaceワーム以来、公式にはこの問題に関してQuickTimeの修正をしていない。Windows上では、問題が修正されるまでQuickTime ActiveXを止める、関連付けを外す、JavaScriptをオフにする、いっそアンインストールするなど (US-CERT VU#304064)。MOAB修正パッチ対応済み。
  • MOAB-06-01-2007: PDF 1.3のカタログ・ハンドラに不特定の脆弱性
    対象: Mac OS Xの全てのバージョン、Adobe Acrobat Reader 3.0-7.0.8 (Mac OS X/Windows/Linux)、Xpdf 3.0-3.0.1 (patch 2)、Poppler 0.4.1-0.5.4、KDE 3.2.0-3.5.5、KOffice 1.2-1.6.1 (kpdf、KDE Security Advisory参照)、その他PDFを扱うアプリケーション (Bugtraq ID: 21910)。
    概要: 脆弱性はPDFを処理するソフトにより異なる。
    対策: Adobe Reader 8.xは、現状では問題を起こすケースが確認されていない。Adobe Reader 7.0.8以下には他にもいろいろ見つかっている (SA23666および関連リンク参照) ので、なるべく新しいバージョンを使う。KDE 3.5.6は安全。MOAB修正パッチ対応済み。
  • MOAB-10-01-2007: UFSのDMGマウントに不正なボリューム名でのDoS攻撃脆弱性
    対象: Mac OS X 10.4.8 (以前のバージョンにも同様の恐れ)FreeBSD 6.1
    概要: ffs_mountfs() 関数にintegerオーバーフロー脆弱性があり、DoS攻撃やリモート攻撃が可能。
    対策: FreeBSDではDMGイメージは扱わないしマウントはrootなので、事実上脆弱性として機能しない。MOAB修正パッチで警告ダイアログを出せる。
  • MOAB-12-01-2007: UFS DMGハンドリングにDoS攻撃の脆弱性
    対象: Mac OS X 10.4.8 (以前のバージョンにも同様の恐れ)、FreeBSD 6.1
    概要: ufs_dirbad() 関数 (SA23721参照) に不正なディレクトリ構造を渡すことでDoS攻撃が可能。今回は ufs_lookup() 関数から呼び出した場合。
    対策: FreeBSDではDMGイメージは扱わないしマウントはrootなので、事実上脆弱性として機能しない。MOAB修正パッチで警告ダイアログを出せる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年02月13日 7時50分 (#1109031)
    文章を読んだ限りでは、Appleは自社で修正ファイルを開発しない(できない)という方針なのだろうか?
    • 記事を読んだ範囲では

      MOAB-03-01-2007:QuickTimeの脆弱性
      MOAB-10-01-2007: DMGの脆弱性

      の公式な対策が出ていないようですがこれは単に対策に時間がかかっているだけのような。
      #あとは「旧バージョンを使うな」「SecurityUpdateは常に最新に」というお約束ばっかり。

      AppleはSecurityUpdateを年8回くらいのペースで自動配布しているのでそのうちそれに
      含めてリリースされる気が。
      MOABはそれを待てない人のためのまとめサイトと認識したほうがいいでしょう。
      親コメント
      • MOAB-03-01-2007:QuickTimeの脆弱性
        HREFTrackの現在の動作を、Appleが「機能」だというのは、まあ分からなくもありません。XSS脆弱性を抱えたwebサイトがあったとして、それはwebブラウザーの機能だからwebサイト側でなんとかしろ、というのにちょっとだけ似ています。
        問題はクロス・ゾーン・スクリプティングまで「機能」なこと、「なんとかしろ」といわれているのが事実上ユーザーなこと、そしてHREFTrackをオフにするオプションがないことです。MOAB修正パッチで抑制できますし、MySpace内ではAppleの公式パッチが配布されたという報道もあります。察するに、Appleはこれを現時点で公式に盛り込めない理由があるのでしょう。例えばiTunes Storeでがんがん使ってしまっているとか (憶測です)。それならそれで、オプション設定の提供をすべきだと思いますけれどね。

        MOAB-10-01-2007: DMGの脆弱性
        Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。

        MOAB Fix Groupは、MOABの終わりの方はスルーしています。APEで対応できる範囲ではないといえばそれまでですが、会話の様子から、現在Appleとの共同作業に移っているのではないでしょうか。Leopardではこういう問題に何らかの手を打つ (MOAB Fix Groupのshawnca氏 [google.com]) という話もありますが、それを10.4.9 (10.3.10も?) に織り込むべく努力中…と期待しています。

        親コメント
    • by Anonymous Coward
      Windowsは危険、Macは安全と無根拠でCM打ってる関係上、
      Mac OS Xが実はWindowsに負けず劣らずボロボロの脆弱性を
      抱えていることは認めるわけにはいかないのでは?

      嘘の広告、誇大広告ということになってしまいますよね。

      MySpaceで猛威を奮ったQuickTimeの脆弱性に対して、
      正当な機能であると主張して認めなかったし。

      バグは仕様、脆弱性も機能のうちってことです。

  • で… (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年02月13日 12時38分 (#1109124)
    これを3回連載するんですか?

    # ゆーにゃさん頑張り過ぎないように。
  • by yhiraki (14165) on 2007年02月13日 19時48分 (#1109459)
    http://japan.cnet.com/news/biz/story/0,2000056020,20342337,00.htm [cnet.com]この記事で、ゲイツ氏が「ここ最近、セキュリティ関係者は毎日Macの脆弱性を見つけている。」ってMOABのことですよね。

    何でゲイツ氏はこんなマイナーなOSのマイナーなプロジェクトを知ってたんだろうw

    しかも、認識が微妙に事実と異なってるしw
    • MOABのメンバーは、MOABの前にMOKB (the Month of Kernel Bugs) をやっていて、Windows GDIのローカル権限昇格脆弱性 [info-pull.com]を発表したことがあるので、知っていてもおかしくはないです。MOKBはWindowsの脆弱性はこれ1つしか発表していないので、「Windowsマシンの場合、そのような脆弱性は月に一度見つけらるかどうかだろう」の部分は根拠があります (発表できないだろう、が正確ですが)。

      しかも、認識が微妙に事実と異なってるしw

      CNETの記事は微妙にミスリードなので、元になったNewsweekのインタビュー記事 [msn.com]をどうぞ。Gates氏も年を取ったなあという印象を持つかもしれませんが。

      親コメント
    • Re:気になる… (スコア:0, フレームのもと)

      by Anonymous Coward
      現実は今月も緊急パッチを出すMicrosoft。緊急性のある大穴は
      血眼になって探したMOABでも結局見つからず、Appleのソフト
      にはなかった訳です。細かいセキュリティパッチは随時出すのが
      Appleの方針で、それに対してMicrosoftは月例で数が多い。
  • by Anonymous Coward on 2007年02月13日 10時57分 (#1109078)
    Stack-based Buffer Overflow なんだから、「スタックオーバーフロー」は間違いでしょ。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...