以前、MIMEタイプでは一見画像ファイルでも、実はプログラムというファイルがメールに貼付されていた場合、Mail.appでその添付ファイルをダブル・クリックするとそのファイルがそのまま実行されてしまうという問題が話題になったことがありました。
昨年の3月にTigerに対してはfixがされていましたが、どうもAppleはLeopardに関してはこの問題を忘れていたようで、新しいMail.appではまたまたこの問題が再発しているとHeise-Securityが発表しています。
Heiseはご丁寧にサンプルのファイルを送ってくれる「サービス」付きで、確かにHeiseから送ってきたファイルに添付されているHeise.jpgをダブルクリックすると、シェル・スクリプトが実行され「アンタあぶないよ」というメッセージがターミナルに出力されます。
まぁ、誰が送ってきたか分からないメールの添付ファイルをダブルクリックする人はあまりいないと思いますが、それにしても最近のFirewallの話にしても、相変わらず改善されていないiDiskのセキュリティにしても、少しユルいという気もいたします。
「お試しメール」はこちら
(ここで電子メールのアドレスを入れると、確認のメッセージが送られてくるので、そこのリンクをクリックすると、jpgに化けたシェル・スクリプト付きのメールを送ってくれます)
Technorati Tags: Mail.app