未完全! セキュリティホールはまだ空いている。

http://japan.cnet.com/news/sec/story/0,2000050480,20068851,00.htm
上記記事をご覧下さい。
24日の記事(id:Yuny:20040524#p1)でお伝えしたMac OS XのディスクURIとヘルプURIセキュリティホールですが、どうやら対策が完全ではなかったようです。
今後もソフトウェアアップデートの動向には注意した方が良いでしょう。
http://www.apple.co.jp/ftp-info/index.html
関連情報はこちら。
http://www.itmedia.co.jp/enterprise/0405/25/epi02.html
http://allabout.co.jp/computer/macos/closeup/CU20040520VIUS/index.htm

さて、ここまで読んでも、リンク先の記事の意味が分からない人、いっぱいいると思います。っていうか、私がよく分かってない。(笑)
そこで、インターネットのIT事典の力を借りて、語弊を恐れずに上記関連情報記事から、今回の問題を解説してみましょう。
参考にした事典ページはこちら。
http://e-words.jp/w/URI.html
http://e-words.jp/w/URL.html

皆さんは、普段ネットを使っている中で「URL」という言葉を聞くことが多いと思います。例えば私のダイアリーも、URL形式ではネットの中の住所としてd.hatena.ne.jp/Yuny/と書けますね。これは、地番に例えればd.hatena,ne.jpとは地域の名前、Yunyというのが番地にあたる、というようなものです。ネットの世界では、こうした特別な書き方をした住所で、その目的のホームページを訪問することが出来ます。

で、今回の記事でさかんに出て来ている「URI」最後がエルじゃなくてアイ。これも住所を表すものなのですが、ネットの住所というものは、じつはいろいろな書き方で表すことが出来るようです。それで、URIで考える住所という世界を元に、具体的に使いやすいように書き方のルールを決めたのがURL。たとえば、住所というのは何県何市何町何丁目何番地とかって書かないと、普通は困りますよね、そう、郵便を送る時には。しかし、「駅前の喫茶店」とか「○○ビルのはす向かいの青いお店」っていう言い方も、ある意味で住所と言えるでしょう。つまり、URIの世界ではいろいろないい方ができなくはないけど、それじゃ広すぎてこまるので、ホームページを訪れるといったことのために、URIの一部の機能で住所の標準的な書き方のルール(仕様)を定めたのがURL、と言うことになります。

ところで、ホームページのURLといえば、http://www....という形ですね。この頭のhttpというのは、http方式でホームページのデータを見に行きますよ、というような意味。プロトコル、という専門用語がありますが、これは連絡手段の約束ごと、というような意味です。http方式は、主に、ホームページのデータを、あなたのパソコンに送ってもらうときの、データのつなぎ方といってもいいでしょう。子供の時にあそんだ糸電話が、2個の紙コップの底をつなぐように1本の糸を付け、ピンと張ったもの、と決まっているように、ネットをみるのにも接続のための約束ごとがあるのです。

でも、インターネットで、データのやり取りをするためのプロトコルは、いろいろな種類があります。自分のパソコンで作ったホームページの中身を、ホームページの実際のコンピュータに送るために使うftpプロトコルも、結構聞く単語でしょう。Macユーザであれば、MacMacをつなぐためのAppleTalkプロトコルというのもありますね。そして、今回、ぜい弱性(弱点)が見つかったのが、あなたがMacの分からない所を調べたい時に活躍する「helpプロトコル」と、ディスクイメージをネットから呼び出すときに使う「diskプロトコル」です。
helpビューア、あなたは使ったことがありますか? これを見ているsafariにも、上の方に「ヘルプ」がありますね。そこから「safariヘルプ」を呼び出すと、機能をいろいろと調べられる、専用のブラウザが開きます。このヘルプビューアで調べ物をする時、helpプロトコルでデータが呼び出される訳です。これの便利な機能として、スクリプト(作業手順をまとめた物)を組み込み、この時に使うソフトはコレです、と、ある場所をクリックすると自動的にソフトを起動して教えてくれる機能があります。

それから、diskプロトコルについて。Mac OS 9以前からディスクイメージと言う物が使われていましたが、いってみればディスクに見せかけたなんちゃってディスクファイルで、これを使うと画面上にディスクが増えたように見えます。これを作るのにDIskCopyというソフトを使いますが、とりあえずイメージだけ作っておいて、同じCDを沢山焼きたい時とかに重宝します。また、一所にファイルをまとめて配るのに便利なので、ソフトウェアのインストーラをネットで配る時にもよく使われます。そして、便利な機能として、diskプロトコルを使ってインターネット経由であなたのMacにディスクを表示することもできます。

しかし。
このふたつの機能の便利な所を悪用すると、helpプロトコルを通じて勝手なスクリプトを動作させて、使っている人が考えもしないような作業をMacにさせたり、勝手なディスクイメージをあなたのMacに持ち込み、その中に仕込んだソフトを勝手に動かすことも可能なわけです。

今回のアップデートで、このうち、ヘルプについては解消しました。しかし、ホームページを見るためにデータがあなたのMacに読み込まれただけで、もしも悪質な仕掛けがそのページにされていたら、そこから勝手に送り付けてくるディスクイメージに勝手なソフトを仕込み、そのソフト用のURIをあなたのMacに登録し、勝手なことをされてしまうという弱点は、解消されていない、ということなのです。そしてこれは、インターネットのホームページを見るソフトなら、IEでもSafariでも、NetScapeその他でも、結局Mac OS の仕組みを使っているのだから、共通にある弱点な訳です。

まだ、このことについては、Apple社は対応していません。
なくしちゃいけないデータはバックアップをとりつつ、続報を待ちましょう!