絖綛 N@i.jp  昨日:00018849
 今日:00002464
 総計:00158376
keywords
管理者専用
  Post   Add link   Control Panel 































新しいトピック
最新:01/01 06:07


新しいコメント
最新:07/28 16:47






管理人へMAIL

プライバシーポリシー

Security Update 2006-004

遅くなったけど自宅サーバ(Mac mini)にも適応


 8月初旬にリリースされていた Security Update 2006-004 を自宅サーバ機(Mac mini)の MacOS-X Tiger にも適応。このセキュリティアップデートでは、

  • AFPサーバ
  • Bluetooth
  • BOM
  • DHCP
  • dyld
  • fetchmail
  • gunzip
  • Canon RAW
  • ImageIO
  • LaunchServices
  • OpenSSH
  • telnet
  • WebKit
  • AppKit
に関する脆弱性が修正されている。常時インターネットに繋がれているサーバとしては OpenSSH, telnet あたりが問題になるか。しかしファイアウォールでポートを閉じていれば大丈夫そうだな。
 一方、普段使っているクライアントOSとして見ると、gunzip, Canon RAW, ImageIO, WebKit など悪意を持って作られた圧縮アーカイブファイル、画像ファイル(RAW, GIF, TIFF)、HTML文書(ホームページ) によって異常終了を引き起こしたり、任意のコードを実行できてしまうという深刻なものも目立つ。しかし、このアップデートによっても Safari の KHTMLパーザの脆弱性 については未修正で、発見されたのがSecurity Update 2006-004リリース直前というタイミングだったので修正を吸収できなかったのだろう。不具合箇所が KHTMLパーザということから、WebKit を修正する必要があるだろう。

 しかし異常な入力データ(アーカイブ、画像、HTMLファイル)で異常終了が起きるのもセキュリティホール扱いされているのは昨今の風潮なんだろうか?異常終了するのがシステムサービスのデーモン類であればセキュリティホールと言えなくもないが、Safari等のアプリが落ちるだけなら単なるバグ扱いでも良いのでは?
 ワタシの仕事は並列言語処理系の開発なのだが、ユーザのプログラム誤りや入力データ誤りによってプログラムが異常終了するというのは良くあることで、意図的でなくても配列のインデックスに宣言範囲を超えたような値を指定し、それが見事に制御情報域を直撃していたりするともうお手上げ。異常終了、結果異常、ありえない手続きへの分岐など何が起きても不思議はないという事にもなる。通常、ユーザのプログラムミスということで片付けるのだが、こんなのまでセキュリティホール扱いされた日には何も仕事できなくなるだろうなぁ。


< 過去の記事 [ 8月の 自宅サーバ リスト ] 新しい記事 >

2006 calendar
8月
12345
6789101112
13141516171819
20212223242526
2728293031


掲示板
最新:08/15 17:19


GsBlog was developed by GUSTAV, Copyright(C) 2003, Web Application Factory All Rights Reserved.