このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

バッファオーバーフローによるセキュリティーホールについて

発言者:青山
( Date Monday, February 26, 2001 16:31:30 )


Shadow Penguin Security をみるとバッファオーバーフローをついた
セキュリティーホールについての報告がありますが、Macintosh上でうごく
ソフトウエアについての記述がありません。
Macintosh用の製品は安全なんでしょうか?

→  Shadow Penguin Security 

たまちゃん さんからのコメント
( Monday, February 26, 2001 19:38:08 )

随分前の EIMS で buffer overflow があったと思いますが,それ
以降では他のサーバ製品を含めてなかったように記憶しています。

>Macintosh用の製品は安全

ということには直ちにつながらないとは思います。

ゆうれい さんからのコメント
( Tuesday, February 27, 2001 13:35:31 )

素人的には

単にサーバー全体から見れば、Macintoshの占める割合が少ないため
検証者が少ない。ハッカーとしても発見しても割に合わないとか?

オープンソースなソフトなら
ソースコードからの解析が行われる可能性があるが
オープンソースなソフトが無い。

アドミンという考え方が無かったり
リモートアクセスツールが標準でインストールされていないので
マシンをのっとられると言ったような致命的なセキュリティホールが
発生しにくい。

・・・MacOSXになったら今までのようにはいかないとは思いますが。

青山 さんからのコメント
( Tuesday, February 27, 2001 22:36:33 )

たまちゃんさんゆれいさんご教示ありがとうございます。
Macintoshのシェアが少ないというのが一番の理由でしょうね。

ところで、Shadow Penguin Security の QuickTime Player 4.1.2 for Windows
の Buffer Overflowにのっていた参考コードをコンパイルしてhtmlファイルを
生成し、IE5.5(Win98+QuickTime Player4.1.2)で開いたらマシンの電源がいきなり落ちました。
もっとすごい機械コードが埋め込まれたhtmlファイルがWebサイトにつくられ
るようになったら恐ろしいですね。

重松修 さんからのコメント
( Thursday, March 01, 2001 12:49:58 )

Macintoshのソフトはソースコードが公開されていないものが多いので、
buffer overflowなどというレベルの低いバグがあったとしても、
自ら対処できないのが難点ですね。
あとあまりにも粗末なメモリ管理でbuffer overflowを検出できないので、
ジワジワ不安定になったりするのもなんともです。
MacOSXになれば状況はずいぶん良くなると思いますが、
別の意味での(シェアが上がることによる)不安は付きまとうと思います。