セキュリティ組織の米SANS Instituteなどは現地時間2月21日,Mac OS Xに見つかったセキュリティ・ホールは,当初考えられた以上に危険であるとして改めて注意を呼びかけた(関連記事)。「Safari」ブラウザではWebページにアクセスしただけで悪質なプログラム(スクリプト)を実行される可能性があるほか,メール・ソフト「Apple Mail」などでは,悪質なプログラムを安全なファイル種類(画像ファイルなど)に見せかけられる恐れがある。
今回話題になっているセキュリティ・ホールは,プログラム・ファイル(シェル・スクリプト・ファイル)を,通常は開いても問題がないとされるファイル---画像(.jpg)や動画(.mov)など---に偽装できるセキュリティ・ホールである。これはMac OS Xのセキュリティ・ホールであり,Safariのセキュリティ・ホールではない。
しかし,Safariの「ダウンロード後,“安全な”ファイルを開く」機能(デフォルトで有効)と組み合わせられると,細工を施したWebページにSafariでアクセスするだけで,ZIPファイル(アーカイブ・ファイル)に仕込まれた,動画ファイル(.mov)などに偽装されたシェル・スクリプト・ファイルを勝手に実行させられる危険性がある。実際,攻撃が可能であることを示す実証コードがネット上で公開されている。このため,Safariユーザーは今回のセキュリティ・ホールを突く攻撃を受ける可能性が高い
とはいえ,Safariを使っていないMac OS Xユーザーも油断はできない。例えばApple Mailでは,悪質なシェル・スクリプト・ファイルを画像ファイルに見せかけられる可能性がある。ファイルの種類は拡張子で判断されるので,メールに添付したシェル・スクリプト・ファイルの拡張子を.jpgにすれば,そのメールを受信したApple Mailでは,画像のアイコンが表示される。
しかしながら,MIMEのContent-Typeの設定でそのファイルに実行許可を与えることができる。つまり,添付ファイルはJPG画像のアイコンとして表示されるものの,ユーザーがそのアイコンをダブル・クリックすれば,警告を出すことなくスクリプト・ファイルが実行されてしまう。これを悪用すれば,メールで感染を広げるウイルスを作成できる。
SANS Instituteでは,こういった被害を回避する手段としてApple Mail以外のメール・ソフトの利用を挙げている。例えばThunderbirdでは,警告を出すことなくスクリプトが実行されることはないという。
Apple Mailのユーザーに対しては,安全なファイルに見えても,添付ファイルをダブル・クリックしないよう注意を呼びかけている。添付ファイルは一度保存して,Finderでファイルの種類をチェックするよう勧めている。また,umaskを変更することも回避策になるという。MAC OS Xのデフォルトのumaskは「0022」。これを「0777」に変更すれば,Apple Mailがファイルを自動的に実行することを防げる。
◎参考資料
◆Serious flaw on OS X(米SANS Institute)
◆Mac OS X "__MACOSX" ZIP Archive Shell Script Execution(デンマークSecunia)
◆Apple Safari Browser Automatically Executes Shell Scripts(ドイツHeise)
◆Security hole in Mac OS X also affects Apple Mail(ドイツHeise)
◆Public Exploit Code for a Vulnerability in Apple Safari Browser(米US-CERT)
