Internet Watch logo
記事検索
最新ニュース

Mac OS Xにローカルユーザーの権限昇格を許す複数の脆弱性〜Secunia報告


 デンマークのSecuniaは20日、Mac OS Xにローカルユーザーの権限昇格を許す複数の脆弱性があると報告した。Secuniaでは危険度について、5段階中の下から2番目にあたる“Less critical”と判定している。

 最初の脆弱性は、ファイルシステムの“searchfs()”関数に整数オーバーフローが発生することが原因。攻撃が成功すると、スーパーユーザー権限で任意のコードを実行できる。さらに“setuid”機能にもバグがあり、権限のないユーザーが任意のファイルシステム内の任意のファイルを閲覧できてしまうという。

 これらの脆弱性は米Immunityが2004年6月、オープンソースOS「Darwin」のカーネルxnu-517.9.5の中に発見していたもの。DarwinはMac OS Xのコアとしても使われており、ImmunityではMac OS X 10.3.4に影響があることを確認し、同社会員向けに報告していた。その後、2005年1月18日になって会員以外にも広く情報を公開した。

 なお、Secuniaによれば、これらの脆弱性はMac OS X 10.3.4以外のバージョンでも影響を受ける可能性があるとしている。“setuid”機能の脆弱性については、Mac OS X 10.3.7でも確認されたという。

 このほかSecuniaでは、Mac OS X 10.3.7およびそれ以前のバージョンにDoSによりシステムクラッシュを引き起こせる脆弱性が見つかったことも報告している。いずれの脆弱性についてもSecuniaでは対応策として「信頼されたユーザーにのみシステムへのアクセスを許可すること」を挙げている。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/13902/
  Immunityのアドバイザリ(英文、PDF)
  http://www.immunitysec.com/downloads/nukido.pdf


( 永沢 茂 )
2005/01/21 19:32

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.