今度はMacOSXに新たなセキュリティホールが判明ということらしい。
リンク先の記事のタイトルは
『Mac OS Xの「Safari」ブラウザに危険なセキュリティ・ホール』
となっているが、訂正でセキュリティホールは SafariではなくOS本体のものだということだ。
それでその内容が、ある種の悪意あるシェルスクリプトを含んだZipファイルを展開する時にそのスクリプトが確認タグも無しに実行されてしまう問題点があるということだ。
これを悪用して何かの例えばフリーウエアや動画ファイルのような体裁にしておいて、そこに忍ばせたスクリプトでユーザのシステムをクラックするような命令を実行できる可能性があるという。

これに対応した悪意あるコードはまだ見つかっていない。
近日中にこれに対応したセキュリティアップデートは出るだろうが、昨年のセキュリティホール騒ぎでこの問題は解決したのではなかったのだろうか。

少しでも地雷を踏む確率を下げるためにSafariユーザは以下の設定変更をお薦めする。

環境設定に入って
「ダウンロード後"安全な"ファイルを開く」
の項目のチェックを外す。
これでダウンロードしたファイルを勝手に解凍することは無くなるので、"安全な"という括弧付きの実は安全かどうかわからないファイルを勝手に自動実行されることも無くなって、本当に安全かどうか考える時間は与えられる。

くれぐれも言っておくが、これをすれば安全ということではない。この設定変更をしても何でもかんでも考え無しにクリックしていれば危険なのは同じことだ。
出元が確かな安全と考えられるファイル以外はやたらとクリックしないことだ。

なおこの問題はSafari以外のブラウザでも起きるので同様の設定変更が必要だ。

Safariの環境設定に入って「ダウンロード後"安全な"ファイルを開く」のチェックを外す
これをしておけば、「自動ダウンロード」→「自動解凍」→
「スクリプト自動実行」→「感染」という連鎖は断ち切れる
考える時間は与えられるということだ

この問題についてのシマンテックのプレスリリースが先ほど発表されたので例によって転載しておく。

Safairy

そのMacOSXの脆弱性に対応するアプリが早速できている。

これはSafari専用ではあるが、ダウンロードしたファイルを自動的に開くシークエンスを無効にする。
設定で
「ダウンロード後"安全な"ファイルを開く」
のチェックを外して無効にすれば済む話だと思うし、こういう設定をデフォルトでオンにしているAppleの仕様の方にむしろ疑問を感じてしまうのだが、それでも自動でダウンロードしたファイルを開いてくれるという仕様は便利だと考えているユーザもいるかも知れない。

そういう場合にはこれを使えば、
「ダウンロード後"安全な"ファイルを開く」
のチェックを入れていても完全自動ということではなくなりダウンロードしたファイルにアプリが含まれている場合は
「開いても良いか？」
とアラートを表示してくれる。ユーザが知らない間に勝手に何かを開いて実行するということは無くなるはずだ。

「自動」が好きなユーザには、このいちいちアラートが出る仕様は不便だと思うかも知れない。
しかもこれは一度実行してしまうと元に戻すスクリプトが用意されていないので、このままになってしまう。
それでもチェックを外すか、このアプリを実行するかのどちらかはした方が良いと思う。
ほんのわずかな「便利」のために愛用のMacを大きな危険にさらすことは無いと思うのだ。

リンク先は表示するといきなりダウンロードを始めるのでここでテストしてみると良い。
（このサイトは問題ないが、このサイトのようなコードを書いてそこに悪意あるコードをダウンロードするように設定されるとまさに防ぎ様がない。この対策は必要だ）

ところでSafari以外のブラウザの場合だが、Firefoxの場合はダウンロードの段階でその後の処理をどうするか訊いてくる。
だから問題は少ないと考える。
他のブラウザはまだ検証していない。

SafairyはSafariのデフォルトでダンロードしたファイルを勝手に開く仕様を無効化する
この通り開いても良いかという警告タブをいちいち表示する
煩わしいがとりあえず安全ではある

未公認だが存在するTerminalの認証の弱点を防ぐ

rooted

OSXに現在でも残る脆弱性に関するデモ。

これはMyNetの作者さんのサイトで見つけた記事。
昨年にシステムのURIを突いた脆弱性が問題になってその実証コードまで発表されたためにMacOSXには重大なセキュリティホールがあるということが結構騒然と話題になっていた。
この脆弱性についてはいくつか対策ソフトがでたし、アップル自体からも対応したセキュリティアップデートが出たので一応事態は収束したようなことになっている。

しかしこの作者さんのサイトの記事によるとこのセキュリティの脆弱性の問題は完全に解決したわけではなく今でも同じ問題が残っているということを書いている。
書いているだけでなく作者さん自身が作った、それを証明するための実証コードがこのrootedということになる。

これを起動してテストしてみたところ、なんと確認なしにTerminalを起動してコマンドをそこに置こうとした。
私の場合、こちらの記事で書いた安全対策を施していたので、この実証コードはTerminalを起動したところで止まってしまった。

しかしもしこの安全策が施されていなかったらどうなるかというのがこのキャプチャー。この通りのことが起こるわけだ。
このアプリはあくまでただの実証コードだから、Terminal上で起こることは無意味な数列を表示して止まるだけの話だ。
だから安心して試してもらいたい。

この実証コードは何を実証しているかというと、この方法なら未知のアプリがはじめてTerminalを呼び出してコマンドを実行することができるということだ。
このコマンドはアプリの中のリソース
rooted/Rooted.app/Contents/Resources/expscreen
に記述されてアプリの実行ボタンのクリックでTerminalで実行される。

このコマンドは無意味な数列を表示するだけだが、この実証コードの「echo~」以下がもし
sudo rm -rf ~/
とかいうコマンドになっていたらどうなるだろうか。
ユーザ領域の全てのファイルは一瞬で消えてしまうかもしれない。
あるいはもし、
sudo rm -rf /
なんてコマンドを実行されたら一瞬で起動ボリュームの中身はすべて消えてしまう。
（実はこのコマンドは一度Linuxで試したことがあるのだが、システムの動作に支障があるところでコマンドは止まってしまうので実際には全てが消えてしまうわけではない。しかしシステムとユーザ領域に重大なダメージが残ることには変わりはない）

あるいは何かもっと狡猾なコードを書いて特定の場所にディスクの中の何かを勝手にアップロードするというようなこともできるかもしれない。

いずれにしてもこういうようなコードを悪用すれば、オンラインウエアを装ってシステムを破壊するようなコマンドを実行するアプリが作れてしまうわけだ。
作者さんが「この脆弱性の危機は去ったわけではない」と書いていた意味がよく分かった。

だからこのサイトを見ている皆さんは是非こちらの記事で書いたTerminalに関する安全対策を実行しておいてもらいたい。

これをやっておけばそういう悪質な偽装アプリをつかんだとしても
「世の中には気分悪いことをする奴がいるなぁ！」
と舌打ちするだけで済む。
しかしやっていなければ舌打ちだけでは済まないかもしれない。

rootedはTerminalを起動してコマンドを実行するということを実証するだけのアプリだ
しかしもしこれが「webブラウズを最適化するアプリだ」とか書いてあって
「高速化」なんてボタンが下にあって実際には中身は悪質なコードだとしたらどうだろう？

私の場合は上記の記事の通りアプリやファイルがTerminalを 呼び出して
何かのコマンドを実行しようとしてもこういう確認が出る設定を施している
また確認に無自覚にOKを出しても結局そういうコマンドは実行せずに
「このパスにあるコマンドを実行しようとしたよ」という記録を表示するだけだ
だからここに悪質なコマンドが仕込まれていても問題はない
気分が悪いだけの話だ

しかしもしその安全策が施されていなかったらこの通り
コードに含まれたコマンドを全く確認無しに実行してしまう
このrootedのコマンドは無意味で長大な数列を表示するだけだ
しかしここにシステムを破壊するような悪質なコマンドが
仕込まれていたら一体どういうことになるだろうか？

ここまでの記述を読んで
「しかしsudoで実行するプロセスはrootのパスワードを要求するはずだからこのコードは実害がないのでは？」
と思われた方も多いと思う。

その疑問は正しい。
しかしこの作者さんが問題にしている部分はまさにそこのところなのだ。

作者サイトを要約すると
「sudoで実行された認証は以下の３つの事実によりその妥協的な仕様を悪用される可能性がある
１）デフォルトではsudoは一度認証されると５分間の猶予期間は次のsudoを実行する時にパスワードを要求しない
２）sudoはグローバルに設定されていてttyに関連づけられていない。これはユーザーやシェルウインドウに縛られていないということだ
３）sudoは全てのエントリーを/var/log/system.logに書き込む。これは全ての管理者ユーザから閲覧ができてしまう

これでどういう問題が起きるかというと例えばトロイの木馬を作成する時に、バックグラウンドで潜伏しているようなものを作れば良い事になる。
sudo認証のエントリーは/var/log/system.logに書き込まれるのでここを監視していればsudoが実行されたことを知ることができる
それでユーザがsudo認証、またはそれに準ずる認証をした時に
「ピギーバッキング（便乗）」
して５分以内にTerminalを起動しsudoコマンドを実行するようなスクリプトを書けば良い。
そうすればOSX上ではいかなる権限も乗っ取ることができる」
というのだ。

Appleにはこの可能性は警告したそうだが
「ユーザはそのような不適切なスクリプトを走らせることはないだろう」
ということでこれは問題ではないと回答されたそうだ。しかし作者さんはこのAppleの見解は
「到底受け入れがたい」
と書いておられる。

私もこの記事を読むまではこういう可能性は知らなかったが、いわれてみれば確かに危うい感じはする。

例えばセキュリティに関するログの/var/log/secure.logはGUIのコンソールでも見ることができない
これはroot権限で保護されているので見られないような仕様になっている

しかしこのログはTerminal上なら一度sudoでパスワード認証をしてしまえば
５分以内ならパスワード無しで管理者グループのアカウントから見えてしまう
またここで示したようにsudo ls /var/db/shadow/hashというようなコマンドを使えば
パスワードの暗号化ハッシュ値もこのとおり見えてしまう
これを先ほどの実証コードと組み合わせてバックグラウンドで
自動的に動くトロイの木馬を書くことができたらどうだろうか？
全てが可能になってしまうのではないだろうか？

この対策は上記のようにTerminalに勝手にログインさせないというbashrcの追記でおそらくは防げると思う。
しかしこれでは不安だという向きには、作者サイトに掲げられた対策をお勧めする。
それは以下の内容だ。

１）トロイの木馬が監視する可能性がある/var/log/system.logへのsudoのエントリーの書き込み先を認証がないと閲覧不可能な/var/log/secure.logに変更する

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL !syslog
Defaults:ALL logfile=/var/log/secure.log

と追記する


２）５分間のsudoの認証猶予を無効にする

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL timestamp_timeout=0

と追記する


３）sudo認証を全てTTYに関連づけて、他のアカウントやセッションが利用できないようにする

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL tty_tickets

と追記する

この３つの対策のうちのいずれかを実行していればこの危険性は除去できるという。
これも可能なら実行しておいた方が良い。

sudoersの編集はTerminalを起動してvisudoコマンドで実行する
visudoはルートでログインしないと使えないが
そのコマンドはUNIXのスタンダードなエディタのviと同じだ
iで編集モードに入ってラインを書き込み:wqで保存して終了だ
これを実行するとsudoコマンドを入力するたびにいちいちパスワードを
要求されるようになってしまうが上記の未知のトロイの木馬の脅威はなくなる
それにポカミスでsudoでやってはいけないコマンドを実行してしまうのを
防ぐというフールプルーフにもなるので一石二鳥ではないだろうか

ミスリーディングアプリケーションにご用心

こちらのサイトでこういう記事を見つけた。
要約すれば「あるサイトを見ていたところ突然『あなたのシステムはウイルスに感染している。問題を解決するために◯◯を今すぐダウンロードしてインストールせよ』という怪しげなポップアップウインドウが出てきた」というもので、このブログで取り上げられたSystemDoctor 2006は実はつとにかなり有名なものらしい。この記事では日本語版が登場したというから、少なくとも海外では定評を築き上げているに違いない。

それでこういう経験は私も結構あちこちでしていて、なかにはWindowsのフェイスに似せたJavaScriptのウインドウで
「ウイルス感染を感知したので至急対策せよ。今ならたった５０ドルでセキュリティユーティリティのライセンスを購入できる」
というようなウインドウを表示しているサイトに出会って
「せっかくの労作だが、私のマシンはMacなのでそういうものには引っかからないのだよ」
と笑ってしまうようなものも見かけている。

しかしこういうアラートが出るということは結構引っかかっている人が多いということだ。
こういうミスリーディングソフトは、トロイの木馬のようなソフトウエア的に害があるものはほとんどないのだが、インストールするとシステムに無意味な負荷をかけるだけで「いかにも仕事してる」というふうに見せかけて、結局何の役にも立たないというものらしい。
むしろこれは有害なコードというよりもネット詐欺と言うべきか。
しかし最初からクレジットカード番号を抜くことを目的とした悪質な業者もいるので、危険度はトロイの木馬よりもむしろ破壊的かもしれない。

こういうミスリーディングソフトは増えているというシマンテックのリリースもたまさか来ていたので例によって転載しておく。
皆さんも注意してもらいたい。

FinderPopをアクティブにすると全てのアプリを起動する時「本当に起動してもいいか？」というアラートが出るようになってしまった。

FinderPopがOSXに対応して以来大喜びでインストールしていたが、結局使っていなかった。
readmeを読みこなしている時間がなかったという怠慢な理由だったのだが。
OS9時代にFinderPopを愛用していたのは、実はクリック長押しだけでコンテクストメニューが呼び出せるという便利な機能があったのが一番大きな理由だった。
この機能がOSX版では生きていないようなので、使っていなかった。
ところがこの機能はちゃんとOSX版でも実装していたようだ。

デフォルトではそのチェックが外れていただけで、先日アップデートを入れてこのチェックを入れたところ、クリック長押しでコンテクストメニューが呼び出せるようになった。
これは本当にうれしい。
最近は３ボタンマウスを常用しているのでデスクトップの時にはそれほどでもないが、特にモバイルの時には指一本でコンテクストメニューを呼び出せるのは、「通勤電車ライター」である私にとっては本当にありがたい機能だ。

ところがこれをアクティブにしてからというもの全てのアプリを起動すると以下のようなアラートを出すようになった。

全てのアプリを起動するとこのようなアラートが出る
「FinderPopデーモンは外部プログラムコード◯◯は
セキュリティリスクがあると判断した」というLittleSnitchのアラートだ
どちらかを止めるとこのアラートは出ないのでこの組み合わせで出る連携機能のようだ

これは例のURIの脆弱性をついたプログラムに対する防衛策として、もっとも確実かつ有効な方法になるのだが毎回毎回、何かを起動したり開いたりするたびにこのタグのOKボタンをクリックしないといけないのは煩わしい。
個人使用のiBookはマルチアカウントではないので、そこまでセキュリティリスクに神経質にならなくてもいいと思うのでこの解除方法を探していた。

LittleSnitchかFinderPopかどちらかを止めれば良いのだがどちらも使いたいという場合は、LittleSnitchの設定に入ってキャプチャーの
Enable Code Injection Alart
のチェックを外せばいい。
この設定画面には歯車マークのプルダウンから「Preference」で入れる

この煩わしいアラートを外すにはLittleSnitchの
設定画面に入って一番下のチェックを外せばいい
それで「Save」ボタンをクリックすればすぐに変更は反映される