OS X/iOSでほかのアプリが保存したパスワードなどを取得できるという未修正脆弱性が見つかる 36
ストーリー by hylom
これはデカい問題では 部門より
これはデカい問題では 部門より
headless 曰く、
サンドボックス内で実行されているOS X/iOSアプリから、ほかのアプリが保存したパスワードなどの情報にアクセスできてしまうという未修正の脆弱性が公表された(論文、9to5Mac、The Register、Hacker News)。
ほかのアプリのリソースに対する承認されていないアクセス(unauthorized cross-app resource access: 「XARA」と研究者は呼んでいる)についての脆弱性が、OS XのKeychainやOS X/iOSのURLスキームなどに存在する。これらを悪用することでiCloudや電子メール、ネットバンキングなどのパスワードや、アプリのセキュリティートークンなどを取得可能だという。
研究チームは昨年10月に脆弱性の存在をAppleに通知しており、Apple側は公表までに6か月間の猶予を求めている。さらにAppleは2月に公表前のリポートを送るように要請しているが、現在も完全には修正されていないようだ。また、研究チームが作成した脆弱性を悪用するOS XアプリおよびiOSアプリはAppleの審査を通り、それぞれApp Storeで公開されたとのこと。
Keychainの脆弱性について、GoogleのChromiumセキュリティーチームはアプリケーションレベルでの回避は困難だとしてChromeからKeychain統合機能を削除している。また、1Passwordを開発するAgileBitsでは、この脆弱性に対する攻撃を回避する方法は見つかっていないと述べたとのことだ。
一体どうすれば・・・ (スコア:0)
> ChromeのKeychain統合機能
> 1Password
どちらもどっぷり依存してるのですが・・・どうしたらいいの?
Re:一体どうすれば・・・ (スコア:2)
keepassなんてどう?
http://keepass.info/index.html [keepass.info]
keychainとは関係なく動くし、win,mac,linux系,ios,windows phone,androidなどで
パスワードファイル共用できるからうっかり宗旨替えしなくちゃならん場合にも便利。
Re: (スコア:0)
幸いWebブラウジングしているだけで攻撃されるものではなさそうですので、あやしいアプリをインストールしなければなんとかなるのでは?
Re: (スコア:0)
簡単なことだ
他のOSを使えばいい
宗教上の理由で他のOSが使えないなら・・・神の与えた試練だ
Re: (スコア:0)
なぜか信仰心のたかまりを感じる自分がいる
Re: (スコア:0)
よし、いいぞ。この調子だ。
今度は全財産を寄進して出家しろと命じてみよう。
Re: (スコア:0)
6月30日にリリースされるであろうiOS 8.4とOS X 10.10.4で修正されてるのを祈るしかない。
あ、でもすでにBeta版は出てるわけだし、それで直ってなかったらダメだな。
リンゴへの興味が失われてるな (スコア:0)
良くも悪くもちょっと前まではコメント数が伸びていたのに、
まるでダメだな
Re: (スコア:0)
いや、本当にそうだよ。
ぜんぜん良くなったという話の無いyosemiteの次のバージョンのOSとか出してて、新機能とか
いいから、もう少しバグフィックスして安定させることを考えようよと…
OSXって、殆ど最新+αくらいしかOSをサポートしないからすぐ古くなるし、「枯れるまでWin7
で我慢」みたいな選択肢が無い。
ひたすら不自由なだけ。
Re: (スコア:0)
ファイラーのほうね。
少なくともFinderはここまで不安定じゃなかったよなぁ…。10.5.8までしか知らんが。
Re: (スコア:0)
エクスプローラ本体でなく、エクスプローラに組み込まれるシェル拡張が原因で落ちる事があります。
# 原因はメモリ破壊するバグ有な動画Codecから、Acrobatのサムネイル機能、書庫ツール、アンチウィルスまで様々。
Win8.1を対応と明記されてない、古いのをそのまま持ってきた等心当たりが有るならShellExView [impress.co.jp]等で動画サムネイル等を切ると安定します。
# まぁ、古の漢字Talkで何かおかしいときは機能拡張でATOKを抜いてリブートというのと同じような話ですわ。
Re: (スコア:0)
Win8を2年近く使用してますが落ちたのは片手で数えられる程度なので何か変なもの組み込んでるんじゃ?
Re: (スコア:0)
私も1年ちょっとの利用歴でクラッシュは1回くらい。
開発環境なんでそこそこ変なツールを動かしたりもしていますが、なんか大丈夫な感じ。
というか入れ替えもなく5年ほど使ったWindows7もクラッシュしたのは数回ですね。Win7以降は相当安定している印象。
頻繁におかしくなるようならドライブの不具合とかウィルス/マルウェア系が原因の気がしますね。
Re: (スコア:0)
うちは発売日から8, 8.1とずっと使ってるけど7のころより安定してる
Re: (スコア:0)
以前はMSを叩けばコメントが伸びる、少し前はAppleを叩けば伸びてたでしょうが、
反論しても返ってくるのは頭から決めつけの揶揄だけではまともな人が
去ってしまうのは仕方ない事です。
Re: (スコア:0, 荒らし)
林檎の常識は世界の非常識
Re:なぜこれが問題視されるのか? (スコア:1)
♪林檎の森の子猫たち~に 誘われたのよ妖しいパーティー
Re: (スコア:0)
スラドの住人であれば元ネタわかるのだろうか…
Re:なぜこれが問題視されるのか? (スコア:2)
元ネタはアニメ「スプーンおばさん」のエンディング曲 [kasi-time.com]ですね。
#飯島真理だったのか…今初めて知りました…
Re: (スコア:0)
ルウリィについて語るスレはここですか?
Re: (スコア:0)
Re: (スコア:0)
シングルサインオンってやつだろ。俺はちょっとセキュリティには詳しいんだ。
Re: (スコア:0)
キャリアに更新ゆだねてメーカープリインのIMEの脆弱性が数億台放置されるエコシステムがお勧め!
Re: (スコア:0)
比較論としては本当にiOSよりは安全だからね
Re: (スコア:0)
思想的にはそうだが現段階までの実際の問題としては逆になってるんだよなあ
Re: (スコア:0)
Re: (スコア:0)
それは単なる思い込み、あるいは願望では?
Re: (スコア:0)
数字の大小とかの概念まで変わってくるのかな?
それとも、あれか Apple の脆弱性は綺麗な脆弱性ってやつか。
カウントも不要だし、対応する必要もないから、数字の大小に関係なく Apple の脆弱性については存在を無視とかって感じなのか?
Re: (スコア:0)
多様性が重要ってのは、大規模な何かがあっても誰かが生き残る戦略だからね、
場合によっては多くの犠牲が出るのは仕方ないね
#多様性ゼロだと全員生きるか全員死ぬかってだけの話
Re: (スコア:0)
生物学的にはそうなんでしょうが現代的には「多様性」と言う言葉はもっと多くの、あるいは前向きな意味を持っていると思いますよ。
例えば純粋な発展可能性であるとか全体として良くなるための手法であるとかね。
Re: (スコア:0)
> 多様性ゼロのエコシステムはそもそも危険なんだよ
おっしゃるとおりです。
だからこそ、我々良識あるユーザはWindowsやAndroidではなく、Apple製品を使うのです。
Re: (スコア:0)
けっこうアレな脆弱性が出て、しかもその修正にもだいぶ手こずっているようなのに
そのOSのユーザがしれっとこういうコメントを書けるところがすごい
Re: (スコア:0)
ちょっと前に読んだ日経のWindowsとMacに比較記事で「MacはノートPCのキーボードレイアウトが統一されているから良い」って書かれて居たけど、逆に選択肢が無い事は欠点であるって観点が全く抜けているなぁって思ったのを思い出した。
最近のMacBookに影響された上下カーソルキーがの高さが通常の半分ってレイアウトはどうにもなれることが出来ないわ。