パスワードを忘れた? アカウント作成
1231 story

Internet Explorer for MacOSに巨大なセキュリティーホール 51

ストーリー by Oliver
トロイの木馬 部門より

nidak 曰く,"本家を読んでいたら、ちょっとがっかりするニュースが目に付いた。その名も"Internet Explorer for MacOSの巨大なセキュリティーホール"。Macintouchによる報告によると、このセキュリティーホールを利用することにより、BinHex(.hqx)エンコードされたプログラムの圧縮ファイルがダウンロードした後で(解凍してクリックしなくとも)自動的に実行できるようになってしまうらしい。ってことは、ウィルスプログラムをBinHex型式で圧縮してユーザーにダウンロードさせれば、ダウンロードが完了した時点で勝手に実行され、マシンを感染させてしまうってことだ。なんてこったい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • とりあえず (スコア:3, 参考になる)

    by AoVA (2920) on 2001年10月03日 20時45分 (#26675)
    代替ブラウザとしてはOmniWebがよろしいかと。

    日本語の文字コード判定が全自動とは行かないとこがつらいので、[ブラウザ]→[ツールバーカスタマイズ]で「文字エンコーディング」を追加しとくと吉
  • CyberDog復活希望

    ---
    sakura@System7萌え
    --
    --- $ /usr/bin/cc sakura
  • 勘違いではなく (スコア:3, 参考になる)

    by nidak (2008) on 2001年10月04日 11時52分 (#26803) ホームページ 日記
    他の自動化から生じる問題も指摘しているだけだ。
    OS X以前のOSでも.hqxをダウンロードすることで、権限がないにも関わらず、ソフトを実行できてしまうということができたし(IEだけでなくNetscapeでも)、またディスクイメージファイルにイメージ内のプログラムを自動的にマウント後に実行させることもできる。ようするに、(今回のIEのような)ソフトによる自動化作業によって、思いがけないセキュリティーホールにつながるといった話をしただけだ。
    --

    There is no spoon.
  • Re:とりあえず (スコア:2, 参考になる)

    by AoVA (2920) on 2001年10月03日 20時59分 (#26682)
    回避方法
    IEの環境設定から

    セキュリティゾーンの項目のでカスタムを選び、[アプリケーションとファイルの起動」を無効にする。

  • 回避方法 (スコア:2, 参考になる)

    by AoVA (2920) on 2001年10月03日 21時19分 (#26692)
    ツリーのやや深いところに書いてしまったので見えやすいところにもう一度書くけど、

    IEの環境設定を開いて
    受信ファイル ダウンロードオプションの項目で
    「自動的にファイルをデコードする」のチェックをはずす

    ことでとりあえず勝手に起動することは避けられるようです。
  • by youkan (3208) on 2001年10月03日 22時41分 (#26699) 日記
    Mail.appでも設定によってHTMLメールを受けとれますから、JavaScriptで危険なサイトの頁を開かせるというのも簡単に送れてしまいます。

    WebDevのパスワードが平文で流れるなど、セキュリティ問題が取り上げられるようになってきたので、そろそろMac OS Xもメジャーになってきたかな。
  • 例えばNetscapeもディフォルトで.hqxファイルをデコードし、実行してしまうらしい。これにより、自分にインストール権限のないMacでも、自分のインストールしたいファイルを.hqxでダウンロードし、その勝手に実行される機能を利用して、インストールすることができるとか。
    またStuffItにはimgファイルを自動的にマウントしてしまう機能がついている。imgファイルのマウント先には、自動的にプログラムを起動できるようにしておくことも出来るので、ここにウィルスプログラムやApple Script等を仕込んで、システムをクラックすることも可能だ。
    結局ある程度自動化されている中に、ちょっとしたセキュリティーの穴が含まれていることになる。ともすればこの自動化の仕組みは、IEだけに限らず、MacOSを悩ます機能にもなる。このOS全体における様々な自動化機能をディフォルトでOFFにしていないと、かなりセキュリティーレベルが低下しそうだ。
    --

    There is no spoon.
  • by gori (3642) on 2001年10月04日 7時06分 (#26772)
    MacOS Xの信用を失墜させるためのMSの陰謀か?
    ってそんなわけないだろ。
    AppleはMSを訴えるだろうか?
    ここまで穴がでかいと、Jobsだったらやるかも。
    Appleも、広報とか対応とかで金かかるだろうし、しかもそれがMSが仕込んだバグのせいとくれば。。。
    やってほしい。
  • by zulu (4898) on 2001年10月03日 20時26分 (#26671)
    こいつを加えた亜種が出てきたら感染力はアップするかな?
  • by Average (3404) on 2001年10月03日 20時50分 (#26678) 日記
    iCabは駄目なんでしょうか
    --
    -----------------
    #そんなワタシはOS/2ユーザー:-)
  • by AoVA (2920) on 2001年10月03日 20時50分 (#26679)
    >こいつを加えた亜種が出てきたら感染力はアップするかな?

    感染力...アップするといえばするでしょうが、アーキテクチャから何から違う環境でも動くような大規模な変更ができたらそれは既に亜種じゃなくてぜんぜん別のウィルスと言っていいと思うです。

    言い換えるとそんな変更は大変なのですぐにnimda+Mac感染、というウィルスが出てくるとはちょっと考えにくいかな。
  • by suka (850) on 2001年10月03日 21時02分 (#26684) ホームページ 日記
    私はNetscape6.1も使ってますが…。
    --
    はすかわ
  • by Bill Hates (2038) on 2001年10月03日 21時06分 (#26687) 日記
    回避方法
    Macの起動ディスクから

    "MS"で始まるファイルをすべて選び,ゴミ箱にドラッグする.

    とOfficeまで動かなくなりますんでIEだけ削除の方がいいか.(^_^;

    # IE必須でないOSでIEを使う理由がよくわからない.時々必要に
    # なるなら,ディスクイメージにインストールしておいて適宜
    # マウントして使う方法もないでもないけど.
  • MSの本領発揮といったとこか。
    余計なことしかしないんだよね。

    元記事の通り実験したら、確かに実行した。
    StuffItが不要だってとこも恐ろしいね。

  • by AoVA (2920) on 2001年10月03日 21時13分 (#26689)
    ええと、これでは確実ではないかもしれない。というか確認できなかった。

    環境設定のダウンロードオプションの項目で
    「自動的にデコードする」のチェックをはずす

    のほうが確実かと思われます。
  • by m-aya (3320) on 2001年10月03日 22時10分 (#26696)
    自分は自宅のメイン環境は全て Mac なもんで、Windows の
    セキュリティホールなんてどこ吹く風、と思ってましたから。

    MacOS 9.x 系列ならば、IE と共に Netscape もデフォルトで
    入っているのでまだましなんですけど、X は IE しか選択肢が
    ないですからね…

    個人的には Mozilla の MacOS X バージョン切望とか、
    もしくは Apple 自身でブラウザ作っちゃうとか。
    その昔 Cyberdog なんてのもありましたしね。
  • by TV (3657) on 2001年10月03日 22時47分 (#26702)
    混乱させて収束させるのを楽しむといった愉快犯の集まりといってもいいのでは?
    全員でないにしろ。
  • by TV (3657) on 2001年10月03日 22時54分 (#26706)
    OSXにだって

    ・iCab
    ・Mozilla(通称Fizzilla)
    ・Netscape6.1
    ・OmniWeb
    ・Opera

    といった選択肢がありますよ。
    OmniWeb以外はβ版ですけど。
  • by m-aya (3320) on 2001年10月03日 23時07分 (#26710)
    選択肢ってのは、OS に最初からバンドルされてくるっていう
    意味の発言でした。ビギナーなヒトはやっぱりすぐそこにある
    ものを使いたくなると思いますからね。

    自分は IE 以外で実際に OSX 上で使ったことがあるのは
    iCab と Omni だけですね。Mozilla があるのは知りません
    でした。
    iCab は OS9.1 でも重宝して使わせてもらってます。
  • by awajiya (2498) on 2001年10月03日 23時10分 (#26711) ホームページ
    >iCabは駄目なんでしょうか

    当然,大丈夫でしたけど....
    IE使ってなかったから気付かなかったけど,.hqxのデコードは,
    IE自身がやってるんですねぇ.なんで?なぜヘルパーアプリに
    処理を渡さないの?
  • 確かに、今までのMacOSにはIEとネスケがついてますからね。というか、OSと一緒にIEとネスケが一度にインストールされるようになって、「何か無駄~」とか思ったのも昔の思い出……

    ちなみにMacOS X用のMozillaは以前は派生プロジェクトな扱いでしたが、最近はMileStoneリリースでも他のアーキテクチャと同時に出るようになりましたし、ほぼ毎日Nightly Buildが出ています。かなり安定してきてますよ。
  • by sgr (2035) on 2001年10月04日 0時10分 (#26717) 日記
    mozillaでもいいんじゃない? 0.9.4で十分使えてますよ。
  • by non (2549) on 2001年10月04日 0時44分 (#26724) 日記
    参考に創られた・・って物は出てきそうですよね。
    私は客先でしかMACは使った事が無いので良く知りませんが、
    ウイルスの様にシステムの奥深くに入り込んだ物を駆除と言うか撤去する場合って
    やはり面倒なものなんでしょうか?

    どうもコマンドラインの無いGUIなOSって、そう言った場合の操作が
    難しく思えて・・・。
    --
    -- non --
  • mac.comメールサービスのpop/imap/smtp authパスワードも平文ですよね。
    せっかくXにはOpenSSHがデフォルトでインストールされてるんだから、WebDAVもメールサービスもぜんぶover sshでできるようになればいいのに。
  • by Dark Knight (5476) on 2001年10月04日 6時29分 (#26765)
     Macのウイルスって最近はあまり見ませんが、昔で言うなら、アプリケーションのリソースに自分自身を追加するタイプが主流でした。こういうタイプならワクチンが無くても駆除は簡単です。
     例えば懐かしの「INIT29」というウイルスは「INIT」リソースのID:29に自分自身を追加するので、発見も駆除も容易でした。
     でも今時はみんなワクチンを使うだろうし、ワクチンソフト開発の手間はWinもMacも変わらないと思いますよ。
     「面倒」というのは何と比べて面倒か、というのにもよりますよね(^^;)。
    --
    /* Written by Takayuki Masuda */
  • by Dark Knight (5476) on 2001年10月04日 6時33分 (#26767)
     私はiCab使ってます。MSIEはあまりにクラッシュするので嫌気がさして止めました。人間やめないうちにやめられてよかったです。
     まだまだプレビュー版のブラウザなのでスタイルシートの実装が甘いですが、JavaScriptはだいぶマシになってきましたね。いい感じに動いてます。
    --
    /* Written by Takayuki Masuda */
  • by Dark Knight (5476) on 2001年10月04日 6時38分 (#26768)
     IE5だけをアンインストールするのは面倒なものですが(アンインストーラが無いという凶悪な仕様のため)、IE5だけを削除してくれるAppleScriptもあります。
    --
    /* Written by Takayuki Masuda */
  • by xymo (3720) on 2001年10月04日 9時44分 (#26784) 日記
    激しく同意。
  • ん?そりゃ渡されればStuffitは解凍するしか
    ないとおもうが。。。。(笑)

    それは.hqxに限らず、ヘルパーにアプリ実行で設定
    されている拡張子はすべて該当アプリに渡されますよね。

    「自動でデコード」はIEが解凍するか、ヘルパー
    登録されているappで解凍するかの選択でしかないので
    解凍自体を拒否するなら、ダウンロードヘルパーの
    設定を全て削除するのが良いでしょう。

    それが便利だとは思いませんが。。。。
  • by uxi (5376) on 2001年10月04日 13時05分 (#26822)
    ユーザーの意思でダウンロードを行った場合ブラウザが勝手に実行しなくとも大半のユーザは手動で実行しちゃうと思うのですが?
    ダウンロードしてきたファイルをいちいちウィルスチェックして実行している慎重なユーザー意外はこの穴がなくてもやられちゃう可能性大でしょう。
    問題は間違って変なファイルダウンロードしちゃった場合。
    Nimda が利用したような自動でダウンロードされちゃうような大穴があるとヤバイですね、、、
    --
    uxi
  • アンインストーラが無いという凶悪な仕様のため
    M$の方を持つわけじゃないけど、Macって昔はUninstallerの付いてるアプリってほとんど無かった気がする。今はどうだか知らんけど。
    もっともWindowsみたくレジストリ登録とかしなきゃいけないわけでもなくアプリケーションのフォルダと初期設定フォルダ内の初期設定ファイル消すだけでアンインストールができたからというのもあるけど。
  • by Asagi (333) on 2001年10月04日 13時34分 (#26831) 日記
    環境設定のダウンロードオプションの項目で
    「自動的にデコードする」のチェックをはずす
    ふつー、この設定って真っ先にしておくもんじゃなかったの?^^;;

    #だって、IEのデコードって怪しいんだもん(解けなかったりファイル壊したり。今はちゃんとしてるのかな?)。いつも真っ先にOFFにしてるん。
  • by AoVA (2920) on 2001年10月04日 14時45分 (#26842)
    基本的にはユーザが手で実行してしまったらどうしようもないというのはもちろんそうなのだけれど、

    一見他のページへのリンク、実は危ないhqxファイル、というような偽装をされるとうっかりクリックしただけでアウトになるわけで。

    なんかアプリが出てきてなんだこりゃと思うだけのワンクッションがあるだけでだいぶ違うと思うのです。
  • いろいろ批判あれど、MSのヘルプが無かったらAppleはとっくの昔に倒産か買収されてたでしょ。結局、MacにMS製品が入ることはある程度は仕方ないでしょうね。

    他のブラウザを使えば、それだけで終わる話だけど。

    --
    他力本願。
  • by youkan (3208) on 2001年10月04日 18時39分 (#26891) 日記
    きっと、、、、始まりだと思いますね.

     これからでてくるOfficeに入っているメーラなんか,OutlookExpress並みの親切な機能が盛り込まれていれば,それは、想像したくない...

     ま、こういう方針が適用されれば,安全が優先された設定で出荷されるかもしれないですが.
  • 0.9.4以降はメモリリークが激しくてちょっとアレかも。

    今使っているのは Nightly Build 200110203ですが、現時点で67Mほど使ってます。

    0.9.3の時で30M位だったから、なかなか盛大に漏れて
    いますな。(;´д`)

    # タブブラウザ機能が追加されているので、なかなか
    # 便利ではありますが。
    # 早く修正されないかな。
  • Nimdaが突いた穴は、「自動でダウンロード」ではなく、「自動で実行」です。 自動でダウンロードされることはセキュリティホールではなく、どのブラウザでも可能なことです。ユーザの意思は関係ありません。今回の件は、Nimdaが突いた穴と同じ効果をもたらすセキュリティホールなのであり、「されちゃうような大穴があると」ではなく、ヤバイという話を今しているわけです。
  • > 私はiCab使ってます。

    わざわざ Classic 環境で Netscape4.72 使ってます。

    > MSIEはあまりにクラッシュするので嫌気がさして止めました。

    クラッシュならまだしも kernel panic 起こすんですよ。
    詳しい OS の構造わかってないんですが、とりあえず後にも先にも
    こいつ以外で kernel panic なんて起きたことねえ~。
    --
    [udon]
  • >"MS"で始まるファイルをすべて選び,ゴミ箱にドラッグする.

    ん?
    これはレガシー Mac OS じゃなくて OS X でも同じなのかな?
    レガシー Mac の IE は、正体不明の機能拡張を山ほど入れてくれる
    素敵な仕様のままですね。
    やっぱり finder の「ラベル」便利だぁ~。復活希望。
    --
    [udon]
  • レガシー Mac OS(~9.x)と OS X は別モノなので、
    対処法も違うののの。
    今後 UNIX な知識が必要になるとしたら、漠然と難しそー。
    --
    [udon]
  • by Anonymous Coward on 2001年10月03日 22時53分 (#26705)
    http://www.mozilla.org/ports/fizzilla/
  • by Anonymous Coward on 2001年10月04日 9時08分 (#26779)
    >しかもそれがMSが仕込んだバグのせいとくれば。。。
    バグじゃないよ、仕様だよ
  • by Anonymous Coward on 2001年10月04日 9時46分 (#26785)

    資本が入ってるから無理かな?

  • by Anonymous Coward on 2001年10月04日 9時48分 (#26786)
    私も上に同じ。

    でも、そうなるとOpen Docも復活か?
  • by Anonymous Coward on 2001年10月04日 10時29分 (#26791)
    >例えばNetscapeもディフォルトで.hqxファイルをデコードし、実行してしまうらしい。
    たぶん、勘違いされていると思います。
    この問題はOS X 10.1に含まれるIE5.1が自前のエンジンでデコードすることに起因しているようです。
    StuffItに引き渡した時には自動実行はされません。
  • by Anonymous Coward on 2001年10月04日 10時33分 (#26792)
    この問題、IEが自前の解凍エンジンを搭載してしまったことが一つの原因みたいですね。
    なぜ余計な機能を付けるのか?
    StuffItに引き渡してりゃ、自動実行なんてされないみたい。

    ちなみに環境設定で「自動でデコードする」をOFFにしても、StuffItには渡されると自動『解凍』はされますね(設定にもよりますが)。
  • by Anonymous Coward on 2001年10月04日 11時52分 (#26802)
    Corpland 復活希望とか(笑) で、BSDな面々には評判いいけど MacOSユーザには非難 ごうごう不満たらたらの MacOS X には悪いけど次期 MacOS の座を降りてもらって、やめたがってると噂のアビー テバニアンと一緒にAppleからスピンアウトしてもらうの。 え?スピンアウトした先の社名? 決まってんじゃないですか  Network Enhanced macos X Team. 略称 NeXT ですよ \(^^)/
  • by Anonymous Coward on 2001年10月04日 16時34分 (#26865)
    舌足らずでした。

    通常はIE→Stuffitでおしまいなので、解凍された後は何も起きない。
    (StuffItは悪さをしないし、IEは解凍後のファイルにアクセスできない)。

    自前の怪盗(?)エンジンを積んでしまったIEはStuffItに渡さないから、解凍後のファイルにタッチできる。
    で、結果的に解凍後に自動実行するなんてお馬鹿な仕様が可能になった。

    環境設定で「自動でデコード」をOFFにした上で、StuffItに渡す設定にしておけば(これまでと同様)自動解凍はされるが、実行はされない。
  • by Anonymous Coward on 2001年10月04日 16時56分 (#26872)
    >権限がないにも関わらず、ソフトを実行できてしまうということができたし(IEだけでなくNetscapeでも)

    これがよくわからないので、ご教授お願いします。
    上記のようなケースに遭遇したことがないのですが…。

    実行可能フィルが直接.hqx変換されていることは通常なく、.sitなり他の形式なりに圧縮後に.hqx変換されています。この場合は.hqxのデコードおよび解凍までは自動で行きますね。しかし、ソフトが実行されるようなケースには遭遇したことがありません。
    ブラウザはStuffItにファイルを渡すだけ。StuffItはデコードおよび解凍するだけ。

    ひょっとすると、実行可能ファイルを直接.hqx変換しておけば、ダウンロード後、.hqxデコード→ソフト実行まで行ってしまうんですか?

    ※以下の機能は知っていますので、それ以外の部分を教えていただけるとありがたいのですが。
    ・StuffItの「ディスクイメージの自動マウント」
    ・QuickTimeの「CD-ROMの自動再生」
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...