MOAB総括 — サード・パーティー編 47
ストーリー by yourCat
素早い対応のベンダーに好印象 部門より
素早い対応のベンダーに好印象 部門より
the Month of Apple Bugs (MOAB) の内容と対策。第3回はMac OS X上でのサード・パーティー製品の問題を取り上げる。
例によってMOABとは内容が異なる場合がある。また「怪しいファイル (リンク・メール含む) は開かない」「webブラウザーなどの、ダウンロードしたファイルを自動で開く機能を使わない」といった基本的な対策は割愛した。Mac OS X上では、いくつかの問題はMOAB Fix Groupで開発しているMOAB修正パッチ (APE用モジュール) で修正できる (現時点で最新リリース版は27-1、apeと付く方はビルド済み、svnあり)。
(つづく...)
- MOAB-07-01-2007: OmniWebのJavaScriptにフォーマット・ストリング脆弱性
対象: OmniWeb 5.5.1。以前のバージョンも影響の恐れあり。
概要: JavaScript alert() 関数にフォーマット・ストリング脆弱性があり、リモート攻撃の危険がある。
対策: 問題を修正したOmniWeb 5.5.2以降を使う (現行バージョンは5.5.4b1) - MOAB-08-01-2007 (ウザイ音声Flashあり、閲覧注意): Application Enhancer (APE) にローカル権限昇格の脆弱性
対象: APE 2.0-2.0.2
概要: APEの /Library/Frameworks パーミッション設定がセキュアではないため、ApplicationEnhancer.frameworkを書き換えることで、ローカル権限昇格してしまう危険性がある。
対策: 問題が修正されるまでAPEを使わない。または /Library/Frameworks のadminグループの権限変更や書き換え抑制など。 - MOAB-16-01-2007: Colloquyにフォーマット・ストリング脆弱性
対象: Colloquy 2.1 (3545) 以前
概要: IRCクライアント・ColloquyのINVITEハンドリングにフォーマット・ストリング脆弱性がある。
対策: 問題を修正したColloquy 2.1 (3558) 以降を使う。現行バージョンは2.1 (3574)。
- MOAB-18-01-2007: Rumpusに複数の脆弱性
対象: Rumpus 5.1以前
概要: FTPクライアント・Rumpusにヒープ・ベースのバッファー・オーバーフロー脆弱性があり、リモート攻撃の可能性がある。
対策: 問題を修正したRumpus 5.1.1以上を使う。現行バージョンは5.1.2。 - MOAB-19-01-2007: Transmitにバッファー・オーバーフロー脆弱性
対象: Transmit 3.5.5以下
概要: FTPクライアント・TransmitのSFTPハンドラにヒープ・ベースのバッファー・オーバーフロー脆弱性がある。ftps://スキームで長い文字列を渡すことで、リモート攻撃が可能になる。
対策: 問題を修正したTransmit 3.5.6以上を使う。 - MOAB-27-01-2007: Flip4Macによるメモリ破壊の脆弱性
対象: Flip4Mac Windows Media Components for QuickTime 2.x (SA23958)
概要: QuickTime用WMV互換コンポーネント・Flip4MacのIntelバイナリーに、ASF_File_Properties_Object に不正な値をセットしたASFファイルによるメモリ破壊の脆弱性。リモート攻撃の危険もある。
対策: 次のバージョンで修正されるので、それまで使用を控える。MOAB修正パッチ対応済み。
Macユーザは興味なし? (スコア:1, 興味深い)
少なすぎる気がする。
都合の悪いものは見たくないのか、それともMacユーザは
セキュリティに無関心なのか。
Re:Macユーザは興味なし? (スコア:1, すばらしい洞察)
私の場合は最終編が出てから何か書こうかと思っていたし。
とりあえず今言えるのは、Landon Fuller氏と私では
よく使うアプリやサービスが違う、というくらい。
OmniWebやVLCはインストールしてるけど、使う機会が
ないからバージョンが古いまま。←余計危ない!?
もちろんOSXにセキュリティー上の問題があることは
知ってるし、そのようなものはこれからもどんどん出て
くるだろうし、ラーメンズのCFが不適切でかつ不快に見
えるのは同意。
オチも面白くないしねー。