★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 237.html
 ★阿修羅♪
次へ 前へ
Mac OS Xに脆弱性みつかる-但し10.3 Pantherなら大丈夫【CNET Japan記事】
http://www.asyura2.com/0311/it04/msg/237.html
投稿者 クエスチョン 日時 2003 年 10 月 30 日 23:35:56:WmYnAkBebEg4M

パーソナルテクノロジー:
Mac OS Xに脆弱性みつかる-但し10.3 Pantherなら大丈夫【CNET Japan記事】
http://japan.cnet.com/news/tech/story/0,2000047674,20061691,00.htm

2003年10月30日(木) 2時07分


 米国のインターネットセキュリティ調査会社、@Stakeは、米Appleの
Mac OS Xで新たに見つかった脆弱性に関して警告を発した。

 @Stakeは米国時間29日に3つのアドバイザリーをリリースした。1番め
は、OS Xがファイルおよびディレクトリへのパーミッション(アクセス許
可)を扱う方法にみられる「システム全体」での欠陥を詳述している。2
番めのアドバイザリーは、カーネルレベルの脆弱性を詳しく述べたもので、
デフォルトのインストールを行ったシステムあれば、この脆弱性の影響は
ない。そして3番めは、バッファーオーバーフローに関連するもので、こ
の欠陥を悪用され、リモートマシンからネットワーク経由でシステム内部
にアクセスされてしまう可能性がある。

 Appleは、これらのセキュリティ上の欠陥について、修正用のパッチを
未だにリリースしていない。@StakeはMacユーザーに対して、この欠陥に
対する脆弱性のない最新版のOS、OS X 10.3 ( Panther)にアップグレード
するよう忠告している。なおPantherは129ドルで販売されている。

 1番めのアドバイザリーによると、セキュリティ面の安全性に欠けるフ
ァイルパーミッションを持ったMac OS X上に、アプリケーションがインス
トールされるため、いくつかのアプリケーションでは、それを構成してい
る数多くのファイルやディレクトリが、全面的に書き換え可能な状態にあ
るという。@Stakeによると、この問題が攻撃者に悪用された場合、攻撃者
にはシステムに対する限られたアクセス権しかなくても、プログラムの
(一部となっている)ファイルを自らの好むファイルに置き換えることで
きてしまう。そして、セキュリティに関して疑いを持たないユーザーが、
この置き換えられた(バイナリーファイルを含む)アプリケーションを起
動すると、そのユーザーから別のアクセス権を手に入れてしまうという。

 「このトロイの木馬の役目をはたすバイナリーファイルによって、攻撃
者は自分の限られたアクセス権を、そのバイナリーファイル(を含んだア
プリケーション)を起動したユーザーの持つアクセス権と同等まで拡大し
てしまう」(アドバイザーの記述)

 2番めの欠陥は、デフォルトでないインストールを行ったシステムだけ
に影響するもので、あるシステムに対して限られたアクセス権しかない攻
撃者でも、そのシステムを利用する他のユーザーの認証に関する詳細情報
が盗めてしまうというもの。

 「あるシステムが、コアファイルを有効にした状態で動作している場合
に、インタラクティブなシェルへのアクセス権を持つ攻撃者は、任意のフ
ァイルを上書きでき、またルートに属するプロセスによってつくられたコ
アファイルも読めてしまう。これが結果的に、認証に必要な情報など機密
性の高い情報の改ざんにつながる可能性がある」(アドバイザーの記述)

 @Stakeのリサーチディレクター、Chris WysopalがZDNet Australiaに語
ったところでは、何らかの技術的な理由で、このOSの古いバージョン向け
にフリーでダウンロードできるパッチがリリースできないわけではないと
いう。「ファイルのパーミッションに関する問題は極めて深刻だ。これは
個別のマシンだけに影響する欠陥だが、ただし大学や図書館のような、複
数の人間が一台のマシンを共有している環境では悪い影響が出る」
(Wysopal)

 「そうした環境でMacを管理している人間は、我々がアドバイザリーの
なかに記しているコマンドを使って、グローバルに書き換え可能なアプリ
ケーションがないかどうかをチェックしてみるべきだ。そうしておかない
と、確実に攻撃者に先を越されてしまう」とWysopalは付け加えた。

 @Stakeでは、安全性に欠けるファイルパーミッションの有無を調べる次
善策として、Unixのコマンドを使って、各ファイルやディレクトリのパー
ミッションをひとつづつ確認していくという方法を示している。ただし、
このやり方が初心者には難しいかもしれないと、Wysopalも認めている。
 

関連記事:
Mac OS X 10.3 「Panther」発売に
新Mac OS X-Pantherは129ドルで年内発売

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

 次へ  前へ

IT4掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。