切り分け？ (#528883) | Mac OS X向けのトロイの木馬について警告

「Mac OS X向けのトロイの木馬について警告」記事へのコメント

記事ページを表示すべてのコメント取得

検索30コメント Log In/Create an Account

もっと具体的で詳細な情報が欲しい (スコア:2, 興味深い)

by nInfo (14824)

Mac OS Xのセキュリティホールを利用するということですが、
どのバージョンで脆弱性があるのか、ダブルクリックで起きるなら
Mac OS 9以前でも同様ではないのか、それから具体的な対策方法
がファイルをダブルクリックしないこととしか示されていませんね。
またJPEGとGIFでも同様だと書いてありますが、PNGやTIFFやPDF
なら大丈夫ってことなのでしょうか。Mac
- Re:もっと具体的で詳細な情報が欲しい (スコア:5, すばらしい洞察)
  
  by t_trace (6746)
  
  既に、日本語のMac Securityの情報筋にはいろいろあがってます。
  harden-mac MLには[harden-mac:0620] Re: First Mac OS X Trojan Horsel [ryukoku.ac.jp]が投稿されています。
  手前味噌で申し訳ないが私の日記 [hatena.ne.jp]では考察も入れています。
  
  この手のネタではリンク貼っても読まない人が多いみたいなんで要約しますが、
  またJPEGとGIFでも同様だと書いてありますが、PNGやTIFFやPDF
  なら大丈夫ってことなのでしょうか。Macで一般的なAACファイル
  やQuickTimeのファイルについては？
  
  Carbon/CFMのアプリケーションに適当な拡張子をつければ、このトロイの木馬と同じことが可能になります
  - 切り分け？ (スコア:3, 参考になる)
    
    by Anonymous Coward on 2004年04月09日 11時51分 (#528883)
    ちょっと読んだ感じだと、二つの場合がありえるわけで、
    
    Carbon app を普通のファイルに偽装させる
    mp3 ファイルのid3 タグにスクリプトを仕込む
    は別の物として考えるべきだと思います。
    上の場合はファイルの上にポインタを合わせるとファイル情報の要約が出るようにしておけば防げます。
    つまり拡張子やアイコンを信じるのではなくて、ls -l とfile の結果を信じる、ということです。
    下の場合には仕組みがよくわかってないので何ともいえませんが
    QuickTime なりの実装に問題があるように思えます。
    他の方も書き込んでますが、ここの情報が欲しいです。
    今回のタレ込みはこの下の問題を言っているのであって上の問題とごっちゃにしない方がいいと思います。
    シェア
    
    親コメント
    - Re:切り分け？ (スコア:3, 参考になる)
      
      by t_trace (6746) on 2004年04月09日 14時01分 (#529014) 日記
      
      確かに切り分けができていませんでした。
      今回の警告と同じような動作をするサンプルが、既にあがっているのですが
      http://www.scoop.se/~blgl/virus.mp3.sit
      このファイルではMP3ファイルのID3タグ内にppcのCarbonアプリケーションが埋め込まれ、ファイルタイプがAPPLとなっています。ダブルクリックするとID3タグ内のアプリケーションが実行されますが、iTunesで普通にMP3として音声を聞くことも可能です。
      
      この方法を用いても同じことができる、というだけで同じ手法を用いたトロイの木馬が今回発見されたものかどうかは判りません。ここのきり分けをせずに投稿していました。
      
      シェア
      
      親コメント
      - ようやくわかった！ (スコア:1)
        
        by baka_gahaku (4542) on 2004年04月09日 15時30分 (#529082) 日記
        
        なるほど、ようやくわかりました。
        たぶん、今回の話のキモは、このことなんですね。
        だから、QuickTimeやiTunesについての話ではないと。
        Finderについての脆弱性であると。
        
        ファイル消せちゃうとか、メール送れちゃうとかは、「コードが動けば何でもできる」という部類に属する話で。
        
        そうであれば、最大の謎、GIFファイル等にも感染するっていう意味も、何となくわかるような気がします。
        既存のファイルに、実行コードをコピーして、アプリだよって言ってしまえば、ダブルクリックで実行してしまうと。
        もしそうなのであれば、ファイルの種類は問いませんね、きっと。
        
        ＃もちろん、私がわかった気になっているだけで、全く違う話かもしれません。
        
        シェア
        
        親コメント
      - Re:切り分け？ (スコア:1)
        
        by yoz (6065) on 2004年04月09日 17時57分 (#529194)
        
        サンプルありがとうございます。
        MP3のヘッダぶんコードフラグメントの開始位置をオフセットさせるのがキモなんですね。
        事実上、アプリケーションなコードフラグメントがオフセット0以外から始まってるのって
        ほとんどないような気がするので、Launch時にそのへんを見て警告を出すような機能拡張
        （つーか、今はどうやって実装したらいいんだ？）で、防御できたりするかも？
        
        シェア
        
        親コメント
        
        Re:切り分け？ (スコア:1)
        
        by t_trace (6746) on 2004年04月09日 18時21分 (#529208) 日記
        
        Launch時にそのへんを見て警告を出すような機能拡張
        
        まさにそのような処理をするための措置が、[harden-mac:0632] [slashdot.jp]にあがっています。
        LaunchCFMAppがCFMなアプリケーションを起動する前にチェックするプログラムのソースファイルとその使い方がアップされています。
        参考までに。
        
        シェア
        
        親コメント
        
        Re:切り分け？ (スコア:2, 参考になる)
        
        by Anonymous Coward on 2004年04月09日 18時54分 (#529228)
        
        > [harden-mac:0632] [slashdot.jp]にあがっています。
        
        リンク間違ってるし（笑
        [harden-mac:0632] [ryukoku.ac.jp] ですね。
        
        --
        vm％パスワード忘れた
        
        シェア
        
        親コメント
      - Re:切り分け？ (スコア:0)
        
        by Anonymous Coward
        
        アプリケーションファイルは、強制的に.app等の拡張子が表示される、
        みたいな少々不細工な仕様にでもしないと、避けられない気がします。
        
        これって昔から存在する伝統的な脆弱性と言えるかもしれませんね。
        拡張子に見合う書類のアイコンがバインドされてたら、通常は判別出来ま

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mac OS X向けのトロイの木馬について警告 More ログイン

「Mac OS X向けのトロイの木馬について警告」記事へのコメント

もっと具体的で詳細な情報が欲しい (スコア:2, 興味深い)

Re:もっと具体的で詳細な情報が欲しい (スコア:5, すばらしい洞察)

切り分け？ (スコア:3, 参考になる)

Re:切り分け？ (スコア:3, 参考になる)

ようやくわかった！ (スコア:1)

Re:切り分け？ (スコア:1)

Re:切り分け？ (スコア:1)

Re:切り分け？ (スコア:2, 参考になる)

Re:切り分け？ (スコア:0)

スラド