2年前に本件の問題が発見されました。問題情報はある条件マルウェアページにWindows版のsafariブラウザーがアクセスしたら自動で色んなファイルをダウンロードされてしまい、デスクトップに保存されてしまいます。本問題は「carpet bombing」と呼ばれてます。ダウンロードされてしまうファイル数は制限が無い状況で、只のバグだけじゃなくてセキュリティ問題が起きる可能性も高いです。もう2年間が立ちましたが本件セキュリティ問題のセキュリティパッチが未だ作って無い状態です。Apple社の言い訳は本問題はクリティカル問題では無いと言われました。その後2008年5月31日に別のリサーチを行われました、本件「carpet bombing」バグを使いWindowsセキュリティ攻撃問題が起きる事が出来ますという証明が出来ました。この証明の中に色んなアプリケーションを実行する事が出来るとの証明です(下記の画像)。その後にApple社はWindowsOS版Safariブラウザーパッチをリリースしましたけど、AppleOSのセキュリティパッチが現在迄動きが見つからない状況です。
本問題に関してはやはりリスクが高いですので、詰りマルウェアPDFを沢山ダウンロードされたらAppleマシンにマルウェアに感染される可能性が出ますは。ちゃんとパッチを出すべきだと思われて現在強くApple社に圧力かけっている所です。現在本問題はzeroday状態です。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
0 件のコメント:
コメントを投稿