> >

背景

Mac OS X の以前のセキュリティアップデートで Mail アプリケーションの次のような脆弱性が解消されていることになっていました。

今回の脆弱性はこれに非常によく似ています。

内容

この脆弱性は、メールに添付された安全ではない種類のファイルの取り扱いにエラーによるものです。特別に細工されたメールに一見安全な種類(例えば“.jpg”)でありながら実は任意のシェルコマンドを実行させるファイルが添付しておき、それをダブルクリックさせることによって実行させられてしまうというものです。

影響

これによってユーザのシステムが悪意があるものによって利用される恐れがあります。

対象

この是弱性は Mac OS X 10.5 (Leopard) の Mail.app で報告されています。

対応

現在のところこの脆弱性に対する修正はありません。

添付ファイルをダブルクリックするという行為がそのファイルをオープンするという結果をもたらすようにしているのが間違いです。メールの添付ファイルは必ず一旦保存して、ウィルスチェッカーの洗礼を受けるようにしておきましょう。見知らぬ相手からのメールの添付ファイルなら尚更です。

Secunia の記述では任意のシェルコマンド(arbitary shell command)と言っているので、sudo コマンドを伴ってシステムの全ての権限を奪うことも可能かと思います。管理者のパスワードを求められても反射的に入力しないようにしたいものです。というよりも、見知らぬ相手からのメールに添付されているファイルを開いた上にパスワードまで入力するのはちょっとどうしようもないですね。突然訪ねてきた見知らぬ人の言われるがままにキャッシュカードを渡してしまうようなものです。

個人的には Mail.app をやめて Thunderbird などに乗り換えるのがよいと思います。