速報
» 2004年05月25日 08時11分 UPDATE

「Mac OS Xの脆弱性は未解決」とSecunia

セキュリティ企業Secuniaの幹部は、「Appleが21日にMac OS Xのセキュリティアップデートをリリースする前と同じくらい簡単」に、脆弱性のあるユーザーのシステム上では今でも任意のコードを実行される恐れがあると指摘。(IDG)

[IDG Japan]
IDG

 米Apple Computerは5月21日、先に見つかったMac OS Xの脆弱性を修正するパッチをリリースしたが、セキュリティ企業Secuniaは5月24日、Macユーザーはまだ安全とは言えないと指摘した。

 「脆弱性のあるユーザーのシステム上では今でも任意のコードを実行される恐れがある。Appleが21日にMac OS Xのセキュリティアップデートをリリースする前と同じくらい簡単だ」と、Secuniaの二ールズ・ヘンリック・ラスムセンCEOはMacCentralに寄せた電子メールで述べている。

 Appleが21日にリリースしたパッチではHelpViewerの脆弱性に対応、インストール後は、HelpViewerが起動したスクリプトのみを実行するようになっている。しかし、ほかの脆弱性が問題だとラスムセン氏は言う。

 「本当に深刻なのは、Appleが『ディスク』URIの脆弱性に対応しなかったことだ。この脆弱性では、不正なWebサイトからユーザーのシステム上に、こっそりコードを置くことができてしまう。ヘルプの脆弱性が解消された後はすべてOKのはずだったが、別の非常に不運な機能がMac OS Xのディスクイメージとボリュームハンドリングに存在することが分かっている。ディスクイメージで新しいURIハンドラを登録し、これをアプリケーションと関連付けることが可能だ。このアプリケーションはディスクイメージまたはボリューム上に置くことができるようだ」とラスムセン氏。

 Secuniaによれば、これを悪用されると「ヘルプ」URIハンドラの問題と同じ形で、不正なWebサイト経由で「ディスク」の脆弱性を突くことができてしまい、Mac OS Xが攻撃を受けやすい状況は変わらないという。

 Apple担当者のコメントは今のところ取れていない。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -