OS X YosemiteのSpotlight機能にMailのセキュリティ設定を迂回してリモートコンテンツを読み込んでしまう不具合が発見される。

シェアする

スポンサーリンク

 OS X YosemiteのSpotlight機能にApple Mailの設定を迂回して、リモートコンテンツを読み込む脆弱性が発見されたそうです。詳細は以下から。


Spotlight-Yosemite


 9to5MacやArs Technicaによると、ドイツのセキュリティ研究者が発見したこの不具合(脆弱性)は「Apple Mailにはサーバーの負荷を軽減したり、スパマーへユーザーのIPを送信しないように”メッセージ内のリモートコンテンツを読み込む”という設定があり、これがOFFの場合はリモートサーバーから画像やコンテンツを読み込まないようになっているが、OS X YosemiteのSpotlight機能にはこの設定が適用されない」というもので、


Apple-Mail-メッセージ内のリモートコンテンツを読み込む

The potential privacy glitch affects people who have configured the Mac Mail App to turn off the “load remote content in messages” setting, as security experts have long advised. Spammers, stalkers, and online marketers often use remote images as a homing beacon to surreptitiously track people opening e-mail.

[Spotlight search in OS X Yosemite exposes private user details to spammers – Ars Technica]

 試してみたところ、この設定をON/OFFにしApple Mailでメールを開いた場合にはこの設定は適用されますが。


Apple-Mail-リモートコンテンツを読み込む

 この設定をOFFにしてSpotlightで特定のメールを検索してみたところ、すぐにリモートサーバーからイメージの読み込みが始まります。


Apple-Mail-and-Spotlight-リモートコンテンツを読み込む

 ソフトウェアアップデートでこの脆弱性が修正されるまで、一時的に無効にするにはシステム環境設定から[Spotlight] > [検索結果] > [メールとメッセージ]を外すしかないようです。


Yosemite-Spotlight-メールとメッセージ

In the meantime, concerned users with the preference to not load remote content in messages can avoid using Spotlight search or disable Mail & Messages from Spotlight’s source list in the System Preferences app until a software update fixing the behavior is released.

[OS X Yosemite Spotlight search ignores Mail content setting posing potential security risk – 9to5Mac]

関連リンク:
Datenschutzpanne in Mac OS X Yosemite – heise online

OS X Yosemite Spotlight search ignores Mail content setting posing potential security risk – 9to5Mac

Spotlight search in OS X Yosemite exposes private user details to spammers – Ars Technica

コメント

  1. Apple7743 より:

    えっこれまずくね