|
|
Topic Category
|
|
|
|
Link Category
|
|
|
|
最新:01/01 06:07
|
|
|
|
最新:07/28 16:47
|
|
|
|
|
|
|
|
|
|
Security Update 2006-004
遅くなったけど自宅サーバ(Mac mini)にも適応
8月初旬にリリースされていた Security Update 2006-004 を自宅サーバ機(Mac mini)の MacOS-X Tiger にも適応。このセキュリティアップデートでは、
- AFPサーバ
- Bluetooth
- BOM
- DHCP
- dyld
- fetchmail
- gunzip
- Canon RAW
- ImageIO
- LaunchServices
- OpenSSH
- telnet
- WebKit
- AppKit
に関する脆弱性が修正されている。常時インターネットに繋がれているサーバとしては OpenSSH, telnet あたりが問題になるか。しかしファイアウォールでポートを閉じていれば大丈夫そうだな。
一方、普段使っているクライアントOSとして見ると、gunzip, Canon RAW, ImageIO, WebKit など悪意を持って作られた圧縮アーカイブファイル、画像ファイル(RAW, GIF, TIFF)、HTML文書(ホームページ) によって異常終了を引き起こしたり、任意のコードを実行できてしまうという深刻なものも目立つ。しかし、このアップデートによっても Safari の KHTMLパーザの脆弱性 については未修正で、発見されたのがSecurity Update 2006-004リリース直前というタイミングだったので修正を吸収できなかったのだろう。不具合箇所が KHTMLパーザということから、WebKit を修正する必要があるだろう。
しかし異常な入力データ(アーカイブ、画像、HTMLファイル)で異常終了が起きるのもセキュリティホール扱いされているのは昨今の風潮なんだろうか?異常終了するのがシステムサービスのデーモン類であればセキュリティホールと言えなくもないが、Safari等のアプリが落ちるだけなら単なるバグ扱いでも良いのでは?
ワタシの仕事は並列言語処理系の開発なのだが、ユーザのプログラム誤りや入力データ誤りによってプログラムが異常終了するというのは良くあることで、意図的でなくても配列のインデックスに宣言範囲を超えたような値を指定し、それが見事に制御情報域を直撃していたりするともうお手上げ。異常終了、結果異常、ありえない手続きへの分岐など何が起きても不思議はないという事にもなる。通常、ユーザのプログラムミスということで片付けるのだが、こんなのまでセキュリティホール扱いされた日には何も仕事できなくなるだろうなぁ。
|
|
2006 calendar
<<
|
8月 |
>>
|
日 |
月 |
火 |
水 |
木 |
金 |
土 |
* | * | 1 | 2 | 3 | 4 | 5 |
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | * | * |
最新:08/15 17:19
|
|