編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

Mac OS XのiCalに脆弱性

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-05-22 17:46

 Mac OS Xユーザーは注意して欲しい。Appleが米国時間5月21日中に優先度の高いセキュリティパッチを公表するようだ。(記事末尾に更新情報)

 脆弱性研究と侵入テストを専門とするCore Securityのセキュリティ情報によると、AppleはiCalに関するリモートから悪用可能な3つの脆弱性に対するパッチをまもなく公表するという。iCalはMac OS Xと一緒に出荷されている個人用カレンダーアプリケーションだ。

 Core Secuirtyのアドバイザリは、Appleのセキュリティチームとの協力で作成されているものであるため、21日中に複数の脆弱性に対する修正を行う大きなソフトウェアアップデートが行われる可能性は高い。

 Core Securityのアドバイザリには次のようにある。

 これらの脆弱性は、iCalが同プログラムのカレンダーファイル(.ics)の一部のフィールドについて適切に検証を行っていないことが原因で引き起こされるものだ。これらの脆弱性を悪用すると、悪質なカレンダーのアップデートや特別に作成されたカレンダーファイルのインポートで、iCalがクラッシュするか(最初の2件のバグ)、任意のコードを実行される可能性がある(3つめのバグ)。

 脆弱性のあるパッケージには、Mac OS X 10.5.1(Leopard)のiCalバージョン3.0.1が含まれる。

 Core Securityは、このセキュリティホールはユーザーのクライアント側での攻撃を可能にするもので、攻撃には不正に用意されたウェブサイトや悪質な添付ファイルなどが利用される。

 アドバイザリに説明されている3件すべてに共通しているのは、不適切な値の検証処理が、カレンダーの行事を共有するためのカレンダーファイルフォーマットの構文解析に影響しているということだ。これは、悪質なiCalenderファイルを電子メールで送る、ウェブサービスに投稿するなどの方法によって、対象となるアプリケーションがそのファイルを開いたり、コンピュータ上で更新したりした時に脆弱性を悪用することができるということだ。

 この脆弱性を悪用すると、悪意のあるカレンダーアップデートや特別に作成されたカレンダーファイルのインポートを通じて、iCalをクラッシュさせるか(最初の2件のバグの場合)、任意のコードを実行する(3番目のバグの場合)ことができる。

 AppleのiCalユーザーには、Mac OS Xに組み込まれているソフトウェアアップデート機能を使って、パッチを探し、インストールすることを強く勧める。

 更新情報:Appleのパッチは延期され、米国時間5月21中には発表されないと聞かされた。このような状況なので、おかしなリンクやカレンダーファイル(.ics)を追加したり開いたりすることを求める電子メールには注意した方がいい。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]