PR

 セキュリティ組織の米SANS Instituteなどは現地時間2月21日,Mac OS Xに見つかったセキュリティ・ホールは,当初考えられた以上に危険であるとして改めて注意を呼びかけた関連記事)。「Safari」ブラウザではWebページにアクセスしただけで悪質なプログラム(スクリプト)を実行される可能性があるほか,メール・ソフト「Apple Mail」などでは,悪質なプログラムを安全なファイル種類(画像ファイルなど)に見せかけられる恐れがある。

 今回話題になっているセキュリティ・ホールは,プログラム・ファイル(シェル・スクリプト・ファイル)を,通常は開いても問題がないとされるファイル---画像(.jpg)や動画(.mov)など---に偽装できるセキュリティ・ホールである。これはMac OS Xのセキュリティ・ホールであり,Safariのセキュリティ・ホールではない。

 しかし,Safariの「ダウンロード後,“安全な”ファイルを開く」機能(デフォルトで有効)と組み合わせられると,細工を施したWebページにSafariでアクセスするだけで,ZIPファイル(アーカイブ・ファイル)に仕込まれた,動画ファイル(.mov)などに偽装されたシェル・スクリプト・ファイルを勝手に実行させられる危険性がある。実際,攻撃が可能であることを示す実証コードがネット上で公開されている。このため,Safariユーザーは今回のセキュリティ・ホールを突く攻撃を受ける可能性が高い

 とはいえ,Safariを使っていないMac OS Xユーザーも油断はできない。例えばApple Mailでは,悪質なシェル・スクリプト・ファイルを画像ファイルに見せかけられる可能性がある。ファイルの種類は拡張子で判断されるので,メールに添付したシェル・スクリプト・ファイルの拡張子を.jpgにすれば,そのメールを受信したApple Mailでは,画像のアイコンが表示される。

 しかしながら,MIMEのContent-Typeの設定でそのファイルに実行許可を与えることができる。つまり,添付ファイルはJPG画像のアイコンとして表示されるものの,ユーザーがそのアイコンをダブル・クリックすれば,警告を出すことなくスクリプト・ファイルが実行されてしまう。これを悪用すれば,メールで感染を広げるウイルスを作成できる。

 SANS Instituteでは,こういった被害を回避する手段としてApple Mail以外のメール・ソフトの利用を挙げている。例えばThunderbirdでは,警告を出すことなくスクリプトが実行されることはないという。

 Apple Mailのユーザーに対しては,安全なファイルに見えても,添付ファイルをダブル・クリックしないよう注意を呼びかけている。添付ファイルは一度保存して,Finderでファイルの種類をチェックするよう勧めている。また,umaskを変更することも回避策になるという。MAC OS Xのデフォルトのumaskは「0022」。これを「0777」に変更すれば,Apple Mailがファイルを自動的に実行することを防げる。

◎参考資料
Serious flaw on OS X(米SANS Institute)
Mac OS X "__MACOSX" ZIP Archive Shell Script Execution(デンマークSecunia)
Apple Safari Browser Automatically Executes Shell Scripts(ドイツHeise)
Security hole in Mac OS X also affects Apple Mail(ドイツHeise)
Public Exploit Code for a Vulnerability in Apple Safari Browser(米US-CERT)