OS X YosemiteのSpotlight機能にApple Mailの設定を迂回して、リモートコンテンツを読み込む脆弱性が発見されたそうです。詳細は以下から。
9to5MacやArs Technicaによると、ドイツのセキュリティ研究者が発見したこの不具合(脆弱性)は「Apple Mailにはサーバーの負荷を軽減したり、スパマーへユーザーのIPを送信しないように”メッセージ内のリモートコンテンツを読み込む”という設定があり、これがOFFの場合はリモートサーバーから画像やコンテンツを読み込まないようになっているが、OS X YosemiteのSpotlight機能にはこの設定が適用されない」というもので、
The potential privacy glitch affects people who have configured the Mac Mail App to turn off the “load remote content in messages” setting, as security experts have long advised. Spammers, stalkers, and online marketers often use remote images as a homing beacon to surreptitiously track people opening e-mail.
[Spotlight search in OS X Yosemite exposes private user details to spammers – Ars Technica]
試してみたところ、この設定をON/OFFにしApple Mailでメールを開いた場合にはこの設定は適用されますが。
この設定をOFFにしてSpotlightで特定のメールを検索してみたところ、すぐにリモートサーバーからイメージの読み込みが始まります。
ソフトウェアアップデートでこの脆弱性が修正されるまで、一時的に無効にするにはシステム環境設定から[Spotlight] > [検索結果] > [メールとメッセージ]を外すしかないようです。
In the meantime, concerned users with the preference to not load remote content in messages can avoid using Spotlight search or disable Mail & Messages from Spotlight’s source list in the System Preferences app until a software update fixing the behavior is released.
[OS X Yosemite Spotlight search ignores Mail content setting posing potential security risk – 9to5Mac]
関連リンク:
・Datenschutzpanne in Mac OS X Yosemite – heise online
・OS X Yosemite Spotlight search ignores Mail content setting posing potential security risk – 9to5Mac
・Spotlight search in OS X Yosemite exposes private user details to spammers – Ars Technica
コメント
えっこれまずくね