TidBITS-J#437/06-Jul-98 TidBITS-J#437/06-Jul-98Microsoft Office 98 に新たに浮かび上がった重要なセキュリティ問題を 心配している? でも考えてほしい、これは新しい問題ではないし Office だけに限られた問題でもないのだ。Geoff Duncan が長年の懸案となってい るセキュリティ問題を検証し、どのように対処すべきかを解説する。今週 はまた Jerry Kindall 氏が、めざましい成功を収めた今年の MacHack を レポートする。ニュースは、新インストーラツールや、The Tilery 4.0、 ACTION Files 1.1、Norton AntiVirus 5.0 の重要なアップデート、そして TidBITS スタッフを Macworld Expo で見つける方法などについてお送りす る。
目次:
Copyright 1997 TidBITS Electronic Publishing. All rights reserved.
問い合わせは <info@tidbits.com> へ、感想は <editors@tidbits.com> へ。
TidBITS 日本語版は TidBITS 日本語版翻訳チーム メン バーのボランティアによって翻訳・発行されています。
今回の TidBITS のスポンサーは:
(翻訳:秋山 晃子 <nobineko@club.udn.ne.jp>)
Mac OS 8.1 対応 Norton AntiVirus 5.01 アップデート -- Symantec 社 が英語版と海外向け英語版 Norton AntiVirus for Macintosh 5.0 をバー ジョン 5.01 にアップデートする無料パッチのリリースを始めた。このアッ プデートは HFS“標準フォーマット”の Mac OS 8.1 環境下で Norton AntiVirus 5.0 を使用したときに起きる深刻なディスク損傷の問題に対処 している。(“Norton AntiVirus が Mac OS 8.1 のディスクを損傷する” TidBITS-434「MailBITS/15-Jun-98 」 を参照。)Symantec 社によると、SafeZones をアクティブ にした状態で作成したファイルを削除した場合、ディスク修復ユーティリ ティがそれを紛失したファイルとして報告してしまう問題があったが、 version 5.01 はこのような問題を解決しているという。このアップデート は 550K のダウンロードである。 [GD]
<ftp://ftp.symantec.com/public/english_us_canada/products/
norton_antivirus_mac/ver5/updates/nav501patch.sea.hqx>
<http://db.tidbits.com/getbits.acgi?tbart=04928>
インストーラの新バージョン登場 -- Aladdin Systems 社と MindVision Software 社がそれぞれ人気インストーラプログラムの新バージョンをリ リースした。Aladdin 社の InstallerMaker 5.0 に含まれる新機能は、階 層パッケージ、Web からファイルをダウンロードやインストールする機能、 インストーラアーカイブ内のフォルダに納められているアイテムに直接セッ ティングを適用する機能などである。MindVision 社の Installer VISE 5.5 に追加されたのは、パッケージ依存、アーカイブレポートのモニタ表示、 まもなく発売予定の Mac OS 8.5 への対応、インストーラアーカイブの自 動化アップデート機能の向上などである。この両パッケージは主としてデ ベロッパー向けに開発されたものだが、ひとつの組織が、カスタマイズし たソフトウェアを組織内に配布しなければならない場合にも大いに有用で ある。両社は商用ライセンス契約の種類を幅広く用意する一方、適確とみ なすフリーウェアとシェアウェア作者のために特別ライセンス契約を提供 している。Aladdin 社の Just StuffIt Developers Program と、 MindVision 社の無料 Installer VISE license がそれに該当する。 InstallerMaker 5.0(5.3 MB MacBinary または 6.4 MB BinHex のダウン ロード)と Installer VISE 5.5(1.2 MB Active Installer または 8.2 MB 標準インストーラのダウンロード)両パッケージのお試し版をダウン ロードできる。 [ACE]
<http://www.mindvision.com/Products/IVISE/IVISE_Index.html>
<http://www.aladdinsys.com/developers/installermaker/>
The Tilery 4.0 攻勢に出る -- Semicolon Software 社の Rick Holzgrafe 氏が先週、同氏の最新デスクトップ・ランチャーアプリケーショ ンである 15 ドルのシェアウェア The Tilery 4.0 をリリースした。 (TidBITS に前バージョンについての記事“Desktop Launchers, Part IV” TidBITS-278 がある。)Tilery は、クリックするだけで、アプリケーショ ン、書類、フォルダ、ボリューム、コントロールパネル、サーバなどを開 くことのできるグラフィックタイルを提供している。加えて、アクティブ なアプリケーションが自動的にタイリングされる。バージョン 4.0 の新機 能には、追加機能を利用するためのタイルポップアップメニュー、キーボー ドコントロール、タイル用のホットキー、タイルの作業セット、編集可能 なタイルテキストラベル、などが含まれている。The Tilery 4.0 は 442K のダウンロードである。 [ACE]
<http://www2.Semicolon.com/Rick/Tilery.html>
<http://db.tidbits.com/getbits.acgi?tbart=01479>
ファイル操作を中央集権化する ACTION Files 1.1 -- ACTION Files 1.1 のリリースで、Power On Software 社はオープンダイアログボックスとセー ブダイアログボックスから実行できるコマンドを増やしている。このよく 受け入れられているユーティリティ(“ACTION Files の使命” TidBITS-434「ACTION Files の使命」 )で、これまで限られた機能しかなかったダイアログボック スからたくさんの Finder レベルのコマンドを実行できるようになった。 バージョン 1.1 では、アプリケーションのデフォルトフォルダを指定した り、よく使うアイテムのショートカットをキーボードに割り当てたりでき、 またいくつかの異なる Save As メニューコマンドを用いるアプリケーショ ンには直接サポートを提供している。ACTION Files 1.1 はまた、各アプリ ケーションのウインドウの位置を記憶したり、ディスクの利用可能な空き 容量やその他の情報の表示方法を改善している。ACTION Files 1.1 は販売 店で購入すると 50 ドル、Now Utilities(加えて Super Boomerang)をす でに購入している人は 30 ドルでアップグレードができ、バージョン 1.0 の正式ユーザーはダウンロードが無料になる。30 日間のデモ版も入手可能 だ。 [JLC]
<http://www.actionutilities.com/>
<http://db.tidbits.com/getbits.acgi?tbart=04931>
TidBITS スタッフが Macworld Expo NY に -- ほとんどの読者はもうご 存知だろうが、Macworld Expo が今週 New York City で開催される。 TidBITS がブースを設けるのは夢物語なので、現実に TidBITS スタッフに 会うには、私たちが参加を予定しているイベントのどれかひとつに来場す るのが一番いい方法である。TidBITS スタッフメンバーの何人かが 98 年 7 月 8 日(水曜)6 PM に開催される Netter's Dinner に参加しているは ずである。それから 98 年 7 月 9 日(木曜)10 AM には Peachpit Press ブース(#1645)で Adam が自著 Eudora Visual QuickStart Guide のサイ ン会を予定している。参加費を払ってカンファレンスに出席しようと考え ているなら、Adam が 98 年 7 月 8 日(水曜)11 AM に開催の Building a Mac-centric Intranet パネルに出席し、98 年 7 月 10 日(金曜)10 AM の Innovations in Email パネルで司会を務める予定だということを伝 えておこう。では会場で! [ACE]
<http://www.macworldexpo.com/>
<http://avalon.rockefeller.edu/nettersdinner/>
<http://www.tidbits.com/eudora/>
by Jerry Kindall <kindall@manual.com>
(翻訳:尾高 修一 <odaka@iprolink.ch>)
今年 6 月半ばに ミシガン州 Dearborn の Holiday Inn Fairlane で開催 された MacHack は、「最先端デベロッパーの年次総会」を自称している。 Macintosh ソフトウェアを開発している(または開発しようとしている) 人は、必ず MacHack に参加したことがあるか、あるいは参加したいと思っ ているのだ。普通のプログラミングのカンファレンスとは異なり、MacHack では新しいプログラミングのテクニックやオペレーティングシステムの方 向性などについて学ぶのは目的の半分に過ぎない。あとの半分は雰囲気を 感じることなのだ。さらに言えば、本家 Apple の World Wide Developer's Conference と日程が近いということもあり、MacHack で最も大切なものは 雰囲気だと言ってもいいかもしれない。私のようにテクには強くても厳密 な意味では Macintosh プログラマーではない人でも、この雰囲気には魅了 されてしまう。MacHack には、WWDC のような Apple 主催のイベントには 真似のできないような純粋な楽しさがあるのだ。このことには MacHack が ボランティアの手によって企画・運営されており、多数のスポンサーの協 力で実現されているということも多分に関係しているのだろう。誰かの思 惑というものが反映されることがないからだ。
MacHack のメインイベント、MacHax Group のプロデュースによる Best Hack コンテストを語らずして MacHack を語ることはできない。このハッ クコンテストの目的は、もしあなたがデベロッパーなら、自分がどれだけ 賢いプログラマーであるかを見せびらかすデモを作り上げることにある。 どんなものでも構わない。他のアプリケーションと仲良く共存できないテ クニックを使ってもよろしい。アイデアが度外れで無意味であればなお結 構。会期中にハックをプログラミングすればさらに尊敬を集めることにな る。だが、もし作ったプログラムがなんらかの役に立つと、プレゼンテー ションの最中に観客から「役に立つじゃねーか!」という野次を浴びること になる。ただ、全く役に立たないハックでも同じように観客は面白がって 同じ野次を浴びせるのだが。自分の他の製品を宣伝しようとすると「営業 行為!」という野次が同様に飛ぶ。たまに技術的問題があると「出荷しろ!」 という歓声が上がる。
MacHack に参加しながら新しいアイデアが生まれ、コードとして現実のも のとなっていく興奮の渦に飲み込まれずにいるのは難しい。特にコンテス トが実際に始まる午前零時の直前にマシンルームにいるとなおさらだ。私 自身は特にデベロッパーというわけではないが、去年私は Corel 社のプロ グラマーたちのプロジェクトにグラフィックとサウンドで手を貸すはめに なったし、今年は Andy Bachorski と Nat McCully の両氏の作品の命名と スプラッシュスクリーンを作ってあげることになった。これは MacsBug デ バッガで動作するブロック崩しゲームだった。MacsBug 関連のハックは常 に人気なのだ。で、その名前は BrickPoint または BreakPoint という (誰に訊くかによって答えが違うのだ)。
作品によっては会議場内のセットアップに少々時間がかかったので、コン テストのスタッフは余興として Babylon 5 のシーンや、Troops という Star Wars と刑事もののパロディ、おなじみクリームパイを顔に受ける Bill Gates の QuickTime クリップ、それに Apple の古いマーケティング 用ビデオなどを上映していた。このビデオは一部編集されており、その中 の一つで Steve Jobs 氏は「私たちは 2 ビット製品のラインアップを揃え ました」と語っていた(本来は「32 ビット」と言っていたのだ)。観客は レーザーポインタを使って大画面で Pong のゲームに興じていた。
<http://www.theforce.net/troops/indexQT3.html>
Macintosh デベロッパーコミュニティが顕示する創造性は普通の状況でも 十分驚異的だが、ここでは大量のカフェインにも助けられ最高潮に達した。 Marcus Jager 氏と Quinn“The Eskimo!”氏は、BrickPoint のさらに上を 行き、Pong の一種である OFPong を作り出した。これは Mac の Open Firmware の FORTH インタープリタを使って動作するものだ(ゲームは Mac が起動する前にすでに動き出すので、コードはシリアルポート経由でロー ドしなければならない)。Eric Long 氏の“Spell It Don't Yell It”は デスクトップのアイコンを並び替えて単語を綴るというものだ。Allon Stern、Dave Kamholz、Jon Gotow の 3 氏は Gestalt & Battery という ハックを披露した。これはデスクトップコンピュータでシリアルインター フェースの付いた UPS を使う際に Power Manager を利用可能にするもの だ(つまり、デスクトップマシンからあたかも PowerBook のバッテリのよ うに UPS のバッテリの状態を見ることができる)。Kamholz 氏は単独でも Spotlight というハックを発表した。これはポインタの周囲に透明な円形 の空間を作り、開いている Finder のウインドウの背後のデスクトップに あるアイコンを見ることが(かつ操作することが)できる。Eric Slosser 氏は Power Mac G3 の IR ポートのスピードとレンジを強化する方法を編 み出した。ビームを細くし、パワーをより強力にすることにより、その結 果生まれたレーザーのようなビームは薄い煙の中にはっきり見え、一時は 新聞紙に火がついたほどだ。
PhaseShift と名付けられた 3 つのアプリケーション(Ed Wynne 氏と Matt Slot 氏の作)は、デスクトップアイコンの背後にスクリーンセーバのよう なビジュアルエフェクトを追加するものだ。3 種類のエフェクトが同時に 動作した時には盛大な喝采を受けた。Mike Neil と Leonard Rosenthol の 両氏はノスタルジックな Switcher 98 を発表した。これはアプリケーショ ンを切り替える際に Andy Hertzfeld 氏の元祖 Switcher のようなスライド するエフェクトを加えるものだ。Netscape 社の Rob Churchill、Mike Pinkerton、Eric Shapiro の 3 氏は Mozetta を披露した。Mozetta は Netscape ブラウザに手を加え、Web ページが自動的に Digital の Babelfish トランスレータ(または Pig Latin トランスレータ!)を経由 させるポップアップメニューを追加するものだ。命名はロゼッタストーン と Netscape 社のマスコット、“Mozilla”に由来する。(このアイデアは 前日の Thank Apple セッションで Apple の Maynard Handley 氏が思い付 いたものだ。Handley 氏はこのようなものを OS に組み込むことを提案し たのだ。)基調講演者の Chris Espinosa 氏さえもがハックに参加し、実 用になる音声ディクテーションシステムを作り出した。これはアルファベッ トを読み上げるのだが、その際に 16 進数 の ASCII コードで語りかけな ければならない。Handley 氏がこのシステムをデモするのに糸電話経由で マシンに話しかけようとしたので会場は爆笑に包まれた。
中にはいくつかの“若年層ハック”もあった。これは学生の手になる作品 の総称だ。あるチームは古典的 NetBunny を元に Mr. BagelButt という キャラクタを主人公にリメークしたハックを発表した。会場からは 「NetBunny が作られた時にはまだ 5歳 だっただろう!」という声も聞か れた。すべてのハックがプログラミングの産物だったわけでもない。 QuickTime ムービーも少しあったし、歌ものもあった。Rhapsody ハックに Newton ハック、PalmPilot ハック、それに作者欠席で披露された Hewlett-Packard 計算機のハックさえもあった。ハックの多くは Microsoft か Apple を茶化したものだった。その中の一つ、“jobs”という MacsBug コマンドは Finder 以外のプログラムをすべて終了し、成功するにはムダを 切り捨てることが必要だというメッセージを同時に表示するというものだ。 もう一つのハックは、猫の目のように変わる Apple の OS 戦略に応じて OS の機能をオンにしたりオフにすることができる。もう一つ、Crash Manager というものは、ユーザーが Microsoft スタイルのクラッシュメッ セージ(Blue Screen of Death を含む)か“従来型 Apple”爆弾ダイアロ グを選ぶことができ、かつ OS が落ちる頻度を“なし”から“常時”まで 指定することができる。
輝く ASCII ハック -- しかし、どれよりも驚異的で絶句もの、誰もが見 た瞬間に優勝を確信したハックは、iMac が古い DEC の VT 端末に似てい ることにヒントを得たものだった。asciiMac と名付けられた Alexandra Ellwood 氏と Miro Jurisic 氏のこの作品は、Mac の画面全体をリアルタ イムでカラーの ASCII アートに変換するというものだ。プログラマーたち はこのハックで QuickTime ムービーや Close View で拡大した画面を変換 して大喝采を浴びた。投票の時にも楽勝が予想され、名誉ある A-Trap 賞 (ねずみ取り)を受賞した。OFPong、“180 Years of Hack”(プログラミ ングは全くされていないのだが)、PhaseShift、Spotlight、それに Switcher 98 が同率 2 位の栄誉に輝いた。ほとんどの作品はほとんど名ば かりの賞品を受け取った。その多くはハックそのものになんらかの関係が あるもので、たとえばアプリケーションを終了するたびに South Park の ビデオクリップを再生する若年層ハックは耳栓を授与された。
去年、会議の参加者たちはその年のハックが収録された CD-ROM を手にす るまでに何ヶ月も待たなければならなかった。今年はその場で CD-ROM が 作られ、ハックコンテストの翌日には配付されていた。来場できなかった 人のために、MacHack Web サイトにもハックが間もなく登場する予定だ。
(この記事を書くにあたって、Lynda Botez 氏に助けていただいた。感謝 したい。)
[この記事は MWJ、Weekly Journal for Serious Macintosh Users の許可 を得て長文のレポートから抜粋したものだ。洞察の利いた Macintosh 情報 が足りないと感じている方は、完全無料の 2 回分のお試し購読をするか、 無料の記事のサンプルをダウンロードすることができる。詳しくは、MWJ の Web サイトを参照のこと。]
by Geoff Duncan <geoff@tidbits.com>
(翻訳:尾高 里華子 <odaka@iprolink.ch>)
( :高島 均 <hitak@kk.iij4u.or.jp>)
ここ 2 週間ほど Microsoft Office 98 for the Macintosh に関るセキュ リティ問題が、MacAddict、MacFixIt、MacWEEK などの Macintosh ニュー スソースから報じられている。つまり、Microsoft Office 98 のアプリケー ション(特に Microsoft Word)がマシンの中にある不要なデータを取って きて、それが Office のデータファイル中に見えない形で入ってしまうと 書かれているのだ。
まず悪いニュース。これは実際にかなり前から起きている問題である。さ らに、この問題は Office 98 のみならず、Mac 上で Microsoft 社の OLE テクノロジーを利用している すべての アプリケーションにあてはまる。 そして、この問題を回避するための確実な手段は現在のところまだない。
そして良いニュース。この問題は深刻ではあるものの、多くの Mac ユー ザーにとってはさほど恐れるほどのことではないし、Microsoft 社から フィックスが間もなく出るはずだ。また、この問題の危険を少しでも避け るためにすぐに実行できることもある。
メモリ効果 -- この問題はアプリケーションがイニシャライズされてい ない OLE データストラクチャをディスクに書くということに起因している らしい。このため RAM やディスクに残ったままになっている情報が文書 データに書き込まれてしまうのだ。このデータは OLE ソフトでは表示され ないし利用されることもないが、ファイルの一部になっており、BBEdit や ディスクエディタのような別のプログラム使えば見ることができる。
OLE は(「オーレイ」と読む)Microsoft 社が開発したテクノロジー “Object Linking and Embedding”の略で、これを使うとアプリケーショ ンがコードやデータを共有できるようになる。OLE は Windows での方が有 名であるが、Mac でも 1992 年からすでに利用できるようになっており、 Microsoft Office や Adobe PageMaker を始めとした主要な Macintosh ソ フトでこれを組み込んだものが多くある。OLE は Microsoft 社の COM (Common Object Model)や ActiveX テクノロジーの基盤でもあって、 Apple 社製の競合テクノロジーである Publish & Subscribe や OpenDoc よりも長らえているものだ。
ところで、イニシャライズされていないデータストラクチャというのはいっ たい何者で、それがディスクに書かれるとどうして問題になってしまうの だろうか?
アプリケーションはデータを処理する時に、情報格納用に RAM の一部を OS にリクエストする。すると OS からは(メモリが利用できない場合は) エラーか、メモリブロックの先頭のアドレス指定のような反応が返ってくる。
ただし、OS がアプリケーションに渡すメモリブロックは必ずしも 空っぽ になっているわけではなく、単に利用してもいいということなのだ。実際、 メモリには以前にストアされたデータの残がいが残っていたりするし、 (Mac を終了すると RAM はクリアされるのだが)マシンが前回起動してい た時に書かれたものだったりする可能性もある。このメモリが通常“イニ シャライズされていない”ものになっているのは、どうイニシャライズさ れることになるのか予測しづらいからだ。普通メモリはイニシャライズさ れていなくても問題にはならない。ほとんどはアプリケーションが(すべ てをゼロにするなど)指定されたメモリのイニシャライズを行うなり、メ モリ全域に新しいデータを書くなりするようになっているのだ(この両方 を行うこともある)。だが、アプリケーションがメモリのイニシャライズ を行わなかったり、上書きしてしまわなかったりする場合は、古いデータ がそのまま残ってしまうことになるのだ。
似たようなことがディスクでもよく発生する。アプリケーションがディス クに情報を書く際に、OS が複数のディスクスペースを割り当てて、そこに データを書く。RAM 同様ディスクスペースも空っぽになっておらず、以前 そこにストアされていた情報が残っている可能性がある。(あるファイル を削除しても、そのファイルがあった部分は消去されるのではなく、使用 可能のレッテルが貼られるだけなのだ。だから、Norton Utilities のよう なデータ回復プログラムが最近削除されたものの“消去されずに”残って いるファイルを取りだすことができるのだ。)繰返すが、アプリケーショ ンは通常使おうとしているディスクスペースに残っている古いデータに上 書きするのだ。だが、アプリケーションがそのディスクスペースを使い切 らない時は(大抵のアプリケーションが完全に消去するようにはなってい ない)、古いデータ(またはその一部)が残ってしまう。
OLE の実 -- OLE を採用しているアプリケーションが引き起こしている セキュリティ問題には 2 通りのタイプがあるようだ。一つは、ディスクセ クタに OLE データを書き込んでも、OLE がストレイジに使用しなかった部 分については以前ストアされていた情報が“残ってしまう”ことになり、 新しいファイルの情報にその古い情報まで付け加わってしまうというもの だ。もう一つは、OLE アプリケーションが OS から指定された RAM のイニ シャライズに失敗して、ファイルを作成したり保存したりする時にディス クにそのイニシャライズしていないメモリにあるものを書き込んでしまう というものだ。
これらが、ユーザーのハードディスク または RAM メモリにかつて存在 していてた情報の断片が OLE アプリケーションのデータファイルの一部と してストアされてしまうという結果をもたらすのだ。情報が何であるかを 予測する現実的な方法など存在しない。可能性は、メールメッセージの一 部、財務上の極秘情報、果ては数カ月前に削除した要りもしないメールに 添付されていたファイルなどいろいろとあり得るのだ。さらに、OLE アプ リケーションは余計なデータの混ざったファイルで作業している時にその 部分は無視するとはいえ、そのファイルを別のディスクにコピーしたり、 メールでほかの人に送ったりする場合には、余計な情報までもファイルに “ひっついたまま”になるのだ。
問題の程度を調べる -- これらの振る舞いをテストするために、私は C で 2 つの小さなアプリケーションを書いた。一つ目はディスク上のすべて の空き領域に 4 バイトの記号を書き込むもので、これで効果的にそれらの 領域にタグを付けることができる(私はテスト用ディスクとして ShrinkWrap のボリュームを利用した)。2 つ目のプログラムはすべての使 用可能な RAM を異なる 4 バイトの記号で満たすようにする。手持ちの OLE アプリケーションを使って、タグを付けた ShrinkWrap ボリューム上に、 小さな(一文字だけ)のテストファイルと大きな(100K)のテストファイ ルの両方を作成し、BBEdit や Norton Disk Editor のようなツールを使っ てこれらのファイルの内容を検証してみた。テストとテストの間には毎回、 ShrinkWrap ボリュームの再初期化とタグの付け直しを行い、使用可能メモ リのタグ付け直しを行った。テストした OLE アプリケーションは、 Microsoft Word 5.0a、5.1a、6.0.1 および Word 98、Microsoft Excel 4.0、5.0 および Excel 98、そして PageMaker 5.0、6.0 および 6.5.2 で ある。OLE 非対応アプリケーションでは Nisus Writer 5.1 と FileMaker Pro 4.0 をテストした。
その結果? OLE アプリケーションによって作成された大きなテストファイ ルでは全部に、そのファイルのデータの一部として、ほぼ 4K のサイズに 等しい連続したテストディスクの記号が含まれていた。さらに、ほとんど の OLE アプリケーションは、ディスクの記号よりはかなり小さなブロック であったにせよ、RAM 上の記号を(しばしば Intel プロセッサに共通する バイト順を用いて)ディスクに書き込んでいたのだ。
この問題ではいろいろなアプリケーションが異なる症状を見せたのだが、 恐らくそれは私のテスト書類の相違やプログラムの OLE 利用方法の相違の せいなのだろう。例えば、Microsoft Word 5.x はデフォルトでは OLE オ ブジェクトをそのファイル構造の一部としては作成しないようで、このこ とが“透けて見える”効果の出現を抑制している。しかしながら、OLE オ ブジェクトを使った Word 5.x 書類はいとも簡単に問題を露呈する。同様 に、Word 98 は最もよく問題が出現するようで、一文字だけの Word 書類 中に 10K 相当の“透けて見えた”データが組み込まれる。たぶん、OLE を 他のものより広範囲に渡って使用しているからなのだろう。
テストした OLE 非対応アプリケーションでは、そのファイルデータの一部 にディスクの記号を含むファイルを作成するものはなかった。ただ、一つ だけ RAM の記号をそのファイルデータとしてディスクに書き込んだものが あった(それは 4 つの 16 バイトブロックを作っていた)。
テストしたのはゼロから作成し一度だけディスクに書き込んだファイルの みであることを強調しなければならない。つまり、これらのファイルを編 集したり再保存したりしておらず、あるいはすでに作成済みのファイルで テストしたものではないのだ。(それぞれ独自にではあっても、削除済み データを更新後のファイル内に保持するという似たような振る舞いを持つ アプリケーションは多い。電子メールやデータベースのアプリケーション、 さらに“スピード保存”機能を持つプログラムが典型例である。)さらに、 OLE あるいはテストしたアプリケーションの内部にアクセスする術がない 以上、これらのテスト結果は、OLE アプリケーションと伝えられるセキュ リティ問題との 相関性 を示唆するものだ。テスト結果には説得力があ るにせよ、完全な証拠を構成するものではない。
どうぞお先に -- テストデータで武装して、私は OLE に関する同種の問 題の報告例を調査してみた。これらの問題は Word 5.0 の登場以来ほとん ど確実に存在しているにも関らず、私の知っている限りこの 6 月の中旬に なるまで Macintosh においては報告されたことがない。
一方、Windows プラットホームでは、明らかにOLE は新規ファイルにディ スク上すでに存在する情報が組み込まれてしまうという長い歴史を持つ。 オンラインで入手できる記事はないようだが、New York Times 紙の Steve Manes 氏は、1995 年 10 月に Windows 95 とともに出荷された OLE のバー ジョンでそれが 再現 した際、この問題を報告している(Microsoft 社 は 1994 年夏の Windows 用 Office アプリケーションのリビジョン“C” で、かつて一度密かに問題を修正していたのだ)。Microsoft 社はインター ネットを通じ Windows 用 OLE の修正版をリリースしたものの、さかのぼ ること 2 週間前に発売されていた Windows 95 の商品版では修正がなされ なかった。OLE の Windows バージョンで、新規ファイルの一部として RAM 上の無関係な情報がディスクに書き込まれるという報告については見当た らなかった。
別名で保存 -- Microsoft 社はこれらの問題の修正を間もなく行う予定 で、今週の New York における Macworld Expo でアナウンスがあるはず だ。幸いなことに、このフィックスは、Microsoft Office プログラムのみ ならずすべての OLE アプリケーションにおける問題を修正するはずである。
<http://www.microsoft.com/macoffice/>
それまでの間は、OLE アプリケーションで作成されたファイルを共有した り転送したりする心配なユーザーは、ファイルを新たに初期化したディス ク(フロッピーや RAM ディスクやディスクイメージなど)に「別名で保 存」を使って再度書き込むことによって、これらの問題の最悪の事態を避 けることができる。これによりファイル上のほとんどの“透けて見えた” データを新規初期化ディスクの空白データに過ぎないものにできるだろう。 初期化したディスク上にファイルを単にコピーするだけでは十分でないこ とに注意されたい。「別名で保存」コマンドを使わなければならない。加 えて、この目的のために使うディスクはすべて初期化しなければならない。 含まれるファイルを単に削除するだけでは十分ではない。ディスクの初期 化にはディスクユーティリティーかあるいは Finder の「特別」メニュー にある「ディスクの初期化」コマンドを使おう。更新したりディスクから ファイルを削除したりしたら、最高レベルの安全を得るため再度ディスク を初期化するべきである。
これらの用心は、RAM 上のデータをディスクに書き込むのを防ぐものでは ない。ただ、私のテストでは、ごく小さなデータしか RAM からディスクに 書き込まれることはなかった。通常は合計で 1K より小さく、常に小さな ブロックであった。そのうえ、そのデータはしばしば Intel のバイト順 (Mac では“逆順”と考えればよい)であるため、Mac ユーザーの目には ディスクから“透けて見えた”データよりわかりにくくなる。
Mac 用の OLE アプリケーションを網羅したリストがどこで見つかるかを知 らない。もし、特定のプログラムが心配なら、パッチが入手できるまでの 間、上記に概略を説明したテクニックが使えるし、もしくはそのアプリケー ションのベンダーに問い合わせることもできる。
出頭を命ず -- この記事で概括したこの問題は、Office 98 もしくは Word 98 に関する新たなセキュリティ問題として、しばしば人騒がせな言 い回しにより、Macintosh ニュース媒体で広範に報告されている。率直に 言って、この問題に対する Macintosh メディアの反応には困惑させられ る。記事の取り上げ方を無責任とするものではないが、ほとんどの記事は 明らかに不完全で誤解を招くものだと言いたい。
Macintosh ニュース媒体は、どうも問題を調査し検証することより話題を 広げることに関心があるように思える。確かにこれは単純なケースではな い。私はこの問題を追跡しテストを重ねるのに独立記念日のウィークエン ド期間中 30 時間以上を費やしたところである。権威に染まった不確かな 憶測を避けるためには、時にこれ程の作業時間というものを必要とするの である。
さて、かいつまんで言うと次のとおりだ。これは Office 98 の問題ではな く、少なくとも 1992 年から存在し続ける OLE の問題である。OLE アプリ ケーションを使っていて、コンピュータ上に隠れた要注意情報があり、そ して他人と書類を頻繁に共有することがあるのなら、OLE の修正バージョ ンが入手できるまでの間、それらの書類を他人に渡す前に新たに初期化し たディスクに保存することを考えよう。
非営利、非商用の出版物およびウェブサイトは、フルクレジットを明記すれば記事を転載またはウェブページにリンクすることが できます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありませ ん。書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。TidBITS ISSN 1090-7017
| 
| 