[harden-mac:0131] APPLE-SA-2002-10-02 Stuffit Expander

[ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>]

石川です。

既にしろやまさんが投稿されてますが、Stuffit Expanderについての
Appleのセキュリティー勧告についてです。
ソフトウェアアップデート経由で提供されるわけでもないので、
注意喚起の意味も込めて勝手に訳しました。
勝手訳なんで参考程度に留めてください。
また、末尾にCERTの情報へのリンクが出てるんで参考にして下さい。

------------------------------------------------------------
Apple Security Advisory APPLE-SA-2002-10-02 Stuffit Expander

概要

Stuffit Expander 6.5.2以前には、長いファイルネームを持ったファイルを
さらにZIP形式に圧縮したファイルを解凍する際、バッファオーバーフローを
起こす脆弱性があります。

影響範囲

Stuffit Expander 6.5.2以前を使用しているシステム

対処

Stuffit Expander 7.0にはこの脆弱性が無いので、以下のAladdin Systemsの
サイトからダウンロードして使用して下さい。
http://www.stuffit.com/expander/cert.html

Stuffit Expander 7.0をダウンロードした後は、以前のバージョンのStuffit 
Expanderはシステムから削除して下さい。

詳細

Rapid7社の報告によれば、様々な解凍ソフトは、長いファイルネームを持った
ファイルから生成されたZIPファイルを扱うとバッファオーバーフローを起こ
します。
影響のある環境でこのようなZIPファイルを解凍すると、任意のコマンドを
実行される恐れがあります。

Mac OS Xには様々な解凍ソフトが含まれており、Aladdin SystemsのStuffit E
xpanderも同梱されています。私たちAppleは、Stuffit Expander 6.5.2以前の
バージョンにこの脆弱性があると考えます。ただし、Mac OS Xに含まれる
他の解凍ソフトに、この脆弱性があるかは解っておりません。

Stuffit Expander 7.0にはこの脆弱性が無く、またAladdin Systemsのサイト
からフリーでダウンロードできます。
http://www.stuffit.com/expander/cert.html

Stuffit Expander 7.0をダウンロードし、以前のバージョンをシステムから
削除して下さい。Aladdinのサイトでは他の製品の情報も閲覧できます。

CERTのvulnerability note VU#383779で、さらに詳しい情報が得られます。
http://www.kb.cert.org/vuls/id/383779
------------------------------------------------------------

-- 
| 石川 泰久／vm_converter
| セキュリティ・スタジアム実行委員会
| vm@xxxxxxxxxxxxxxxxxx
| http://homepage.mac.com/vm_converter/
____________________________________________________
◆Harden-Mac ML
http://homepage.mac.com/vm_converter/harden-mac.html
◆セキュリティ・スタジアム2002
http://www.security-stadium.org/



--[PR]------------------------------------------------------------------
┏━━━◆ デジタル系アルバイト・転職情報 ◆ Find Job ! ◆━━┓
★プログラマ・Webデザイナー・データ入力などデジタル系求人満載
★インターネット業界で活躍するチャンス
★未経験OKのお仕事も多数
 http://ad.freeml.com/cgi-bin/ad.cgi?id=bsI5h
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp