MOAB-10-01-2007: DMGの脆弱性 Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。
誤解を恐れずに聞いてみるしかない (スコア:1, すばらしい洞察)
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
MOAB-10-01-2007: DMGの脆弱性
の公式な対策が出ていないようですがこれは単に対策に時間がかかっているだけのような。
#あとは「旧バージョンを使うな」「SecurityUpdateは常に最新に」というお約束ばっかり。
AppleはSecurityUpdateを年8回くらいのペースで自動配布しているのでそのうちそれに
含めてリリースされる気が。
MOABはそれを待てない人のためのまとめサイトと認識したほうがいいでしょう。
Re:誤解を恐れずに聞いてみるしかない (スコア:2, 参考になる)
MOAB-03-01-2007:QuickTimeの脆弱性
HREFTrackの現在の動作を、Appleが「機能」だというのは、まあ分からなくもありません。XSS脆弱性を抱えたwebサイトがあったとして、それはwebブラウザーの機能だからwebサイト側でなんとかしろ、というのにちょっとだけ似ています。
問題はクロス・ゾーン・スクリプティングまで「機能」なこと、「なんとかしろ」といわれているのが事実上ユーザーなこと、そしてHREFTrackをオフにするオプションがないことです。MOAB修正パッチで抑制できますし、MySpace内ではAppleの公式パッチが配布されたという報道もあります。察するに、Appleはこれを現時点で公式に盛り込めない理由があるのでしょう。例えばiTunes Storeでがんがん使ってしまっているとか (憶測です)。それならそれで、オプション設定の提供をすべきだと思いますけれどね。
MOAB-10-01-2007: DMGの脆弱性
Mac OS X編 [srad.jp]にもDMG関係の脆弱性が多数出てきます。そもそも、MOABの前身、MOKBでもDMG関係の脆弱性が報告 [srad.jp]されています。FreeBSD側の反応 [freebsd.org]にあるように、FreeBSDと共有している不具合です。しかしMac OS Xでは、一般ユーザー権限でマウントを許可しているため、FreeBSDではあり得なかった攻撃が可能になりました。MOABもDMG関連の脆弱性を見つけやすかったことでしょう。
MOAB Fix Groupは、MOABの終わりの方はスルーしています。APEで対応できる範囲ではないといえばそれまでですが、会話の様子から、現在Appleとの共同作業に移っているのではないでしょうか。Leopardではこういう問題に何らかの手を打つ (MOAB Fix Groupのshawnca氏 [google.com]) という話もありますが、それを10.4.9 (10.3.10も?) に織り込むべく努力中…と期待しています。