▼ 2008/06/23(月) Mac OS X 10.5.x の Apple Remote Desktop Agent に重大な欠陥
Mac OS X 10.5.x に付属する Apple Remote Desktop Agent に重大な欠陥が発見されました。ローカルユーザが任意のシェルコマンドを、無認証のまま管理者権限で実行できてしまいます。この欠陥を利用したマルウェアも既に登場している模様です。
- Serious Security Vulnerabilty In Apple OS X Leopard (Brian Krebs on Computer Security)
- 「Mac OS X 10.4/10.5」を乗っ取るトロイの木馬が出現,セキュリティ・ベンダーの警告 (日経 IT Pro)
この欠陥は Mac OS X 10.4.x にも存在するとしているニュース記事が多いのですが、上記 Brian Krebs 氏の記事、および RINS におけるテスト結果から考えて、少なくとも Mac OS X 10.4.x の最新版 10.4.11 にはこの欠陥はないと判断します。一方、Mac OS X 10.5.x には欠陥が確実に存在する模様です。
修正プログラムはまだありません。Apple Remote Desktop を利用していない場合は、ターミナルから次のコマンドを実行することで、この欠陥を回避できます。
% sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
2008.08.05 追記
Security Update 2008-005 で修正されました。また、Apple からの発表によると、Mac OS X 10.4.x にもこの欠陥は存在するそうです。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/059/tb/
▼ 2008/06/23(月) Firefox 3.0 が公開されています
Firefox のメジャーアップグレード版、Firefox 3.0 が公開されています。全体的な速度の向上やセキュリティを含めた機能の強化がなされています。
- Firefox 3.0 リリースノート (mozilla.jp)
- ダウンロード (mozilla.jp)
手元で試した限りでは、十分安定して動作するようです。
注意点1
利用している機能拡張が Firefox 3.0 に対応している事を確認した上で (対応していない場合は利用できなくなる事を理解した上で) 更新して下さい。全ての機能拡張が Firefox 3.0 に対応しているわけではありません。
注意点2
Windows 版の Firefox 3.0 では、実行ファイルのダウンロードにおいて、コントロールパネルの [インターネット オプション] の設定を参照するようになりました。具体的には、ダウンロード元のサイトが属するゾーン (「インターネットゾーン」「信頼済みサイトゾーン」など) において、「アプリケーションと安全でないファイルの起動」が [無効にする] に設定してある場合、実行ファイルのダウンロードが次のようにブロック (禁止) されます。
標準では、この値は [プロンプトを表示する] になっています。値を変更している場合は注意して下さい。
注意点3
Firefox 3.0 では、実行ファイルをダウンロードすると、インストールされているアンチウイルスソフトウェアを使用してウイルスチェックを行います。しかしこの機能がうまく働かず、結果としてダウンロードされた実行ファイルが消えてしまう事例が報告されています。
- ダウンロードしたファイルが消える? (もじら組フォーラム)
- ダウンロードマネージャーが機能してない? (MozillaZine.jp フォーラム)
上記はどちらもトレンドマイクロ社製品に関連するようですが、他社製品でも発生するかもしれません。龍大標準のアンチウイルスソフトウェア、VirusScan Enterprise 8.5i との組み合わせでは何の問題もないようです。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/058/tb/
▼ 2008/06/23(月) Safari 3.1.2 for Windows が公開されています
Safari 3.1.2 for Windows が公開されています。複数の重大な欠陥が修正されています。
- About the security content of Safari 3.1.2 for Windows (Apple)
- ダウンロード (Apple)
Safari for Windows を利用している場合は更新して下さい。Windows 用の Apple Software Update を使っても更新できます。
なお、Safari 3.1.2 は Windows 版のみの更新です。Mac OS X 版はありません。
関連キーワード: Safari
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/057/tb/
▼ 2008/06/23(月) Opera 9.5 が公開されています
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/056/tb/