わりと危険・・・つか、相当危険
勝手に転載:
この脆弱性は、毎日1件ずつOSのバグ情報を公開している「カーネルバグ月間」(MoKB)プロジェクト(関連記事)で11月21日に報告された。MoKBや仏FrSIRTなどのアドバイザリーによると、破損したDMGイメージストラクチャを処理する際の「com.apple.AppleDiskImageController」のメモリ破損エラーが原因で脆弱性が存在する。
これだと何いってんだかワカリマセンが、
攻撃者は、ユーザーにSafariを使って悪質なWebページを訪問させることで、サービス妨害(DoS)攻撃を引き起こしたり、任意のコマンドを実行することができてしまう。
危険度評価はFrSIRTが4段階で最も高い「Critical」、Secuniaのアドバイザリーでは5段階で上から2番目の「Highly critical」となっている。
影響を受けるのはApple Mac OS X 10.4.8とそれ以前のバージョン。Appleの公式パッチは現時点でリリースされていない。
回避策として、「ダウンロード後、"安全な"ファイルを開く」のオプションを無効にするやり方が紹介されている。
この辺で何のことを言ってるか分かりますな。
毎回この「ダウンロード後、"安全な"ファイルを開く」あたりは問題になるわけですけど、今回はメモリー破損エラーを起こし、Systemを乗っ取ると言うものです。
これやられると、本当になんでもできちゃうわけで、腕のハッカー・クラッカーなら、トロイをアンチウィルスの目を盗んで送り込み、アンチウィルス自体の効果を止め、ついでにリモートでOSXを自由自在に操ることもできるみたいです。
まぁ、そんなしちめんどくさい事じゃなくても、個人のメールアドレスぐらいはかっぱらってくることはできそうなので、それをやられると結構冷や汗ものじゃないでしょうか。
取りあえず、最後に書いていますが、「ダウンロード後、"安全な"ファイルを開く」のオプションを無効にするぐらいはした方が良いでしょう。
【関連URL】
・ITmedia News:Mac OS Xに深刻な脆弱性
