MacOS X 10.4"Tiger"の目玉機能の一つ、"Dashboard"が悪用される危険性があると言うニュース。 Dashboardはウィジェット(widget)と言うJavaScript,CSS,HTMLで構成されるミニアプリケーション(拡張子は".wdgt")の実行環境。迂闊にインストールすれば、ミニと言えどもTigerの全機能を利用可能なため、危険であるのはある意味当然。
「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に:ニュース - CNET Japan コメントを見る
 Developer Stephanと名乗るこの人物は、「やや悪質」だとする2種類のウィジェットを開発し、自らのブログでこれらを公開した。同氏によると、このうちの1つは、AppleのSafariブラウザを使って同氏の「Zaptastic」ウェブサイトにアクセスしたユーザーのデスクトップに、自動的にインストールされてしまうものだという。

 Stephanによると、これはブラウザを乗っ取るウィジェットを自動的にインストールできるため、ポルノ詐欺犯にとって願ってもない機会になるという。

Dashboardの危険性と言うよりは、Safari RSSの危険性では…?

Safari 1.xにも同様の脆弱性が指摘されていました。
ITmediaニュース:Mac OS Xに深刻な脆弱性 コメントを見る

対応方法についてはITMediaのIDGの記事が詳しい。

ITmediaニュース:TigerのDashboardにセキュリティ問題、その対処法は コメントを見る
ウィジェットをWidget Barに自動インストールしたくない場合は、Safariの設定で「ダウンロード後、安全なファイルを開く」をオフにするだけでいい。そうすれば、ダウンロードしたファイルは、ユーザーが設定したダウンロードフォルダにとどまる。
基本的に、Safariの環境設定で、全般項目の"ダウンロード後、"安全な"ファイルを開く"のチェックを外しておく事により、殆どの問題を回避する事が出来る。

それにしてもCnetの記事にあるように

一旦そのウィジェットがインストールされると、それを削除することはできないとAppleが言っている点だ
と言うのは問題じゃなかろうか?

とりあえず、Finder等で"/Library/Widgets"フォルダに入っているウィジェットを手動で削除する事が可能。だが、どれだけのユーザーがそこまで対応できるのだろうか?OS Xはそういう事が分からない人/気にしたくない人のためのOS("for the rest of us")ではなかったのか?
更に、システムプロファイラでもウィジェットの一覧は出来ない。"アクティビティモニタ"で稼働中のウィジェットの確認は可能。

フリーウェアの"Widget Manager"を使えば、環境設定から設定・削除する事が可能となる。

Mac OS Xのアプリは、その多くがドラッグ&ドロップでインストール可能で、アンインストールもアプリケーションをごみ箱にドラッグするだけで可能だが、設定ファイル等は残ってしまう。これらも含めて管理する仕組みがOS側に必要なのでは?

それにしても、このニュース、何かを思い起こさせるな・・・と思ったら、"Active X"だ!
Tag: