Mac OS Xに脆弱性--パッチはまだ手に入らず

　米Apple ComputerのMac OS Xに、まだパッチがリリースされていない脆弱性があることがわかり、しかもその詳細がウェブで公開されてしまった。

　この脆弱性を発見した研究者、William Carrelは、自分がパッチが開発される前にセキュリティ警告を発表せざるを得なかったのは、Appleユーザーの利益を考慮したためだ、と主張している。同氏の話では、Appleの修正パッチ開発への対応が鈍いため、Appleユーザーは「危険に晒されたまま」だという。

　Carrelによると、Appleは当初応諾したパッチリリース日になってもこの約束を果たさず、その後何週間も待たせているという。

　「その間、ユーザーは危険に晒されたままで、誰か、おそらく私よりも良心のない人間が、独自に（その脆弱性を）発見する可能性はかなり高かった」とCarrelはセキュリティ警告に記している。「私は騙されているような気がしてきた。それに、この問題に対しては適切な対処が全くなされないかもしれないと思ったので、私はその時点で厳しい期限を設定した。そして、彼らがその期限を守らなかったので、私はセキュリティ警告を発表したのだ」（Carrel）

　Appleは10月にも、OS Xに見つかった一連のセキュリティ脆弱性について、当初旧バージョン「Jaguar」用のパッチを提供せず、顧客が安全を確保するためには最新バージョンの「Panther」にアップグレードせざるをえない、という強引な戦略をとったことから、セキュリティコミュニティの非難を浴びた。これらのOS Xの脆弱性は、米国のセキュリティ調査会社＠Stakeが発見した。

　Appleはその後、＠Stakeが発見したJaguarの脆弱性の修正パッチをリリースしたと報じられている。しかし、最近リリースされたセキュリティアップデートを詳しく調べてみると、パッチがリリースされた脆弱性のCommon Vulnerability and Exposure (CVE)識別番号は、＠Stakeが発見した脆弱性に割り当てられた識別番号と一致していない。このため、OS XのJaguarバージョンには、古いバグの脆弱性が依然として残っている模様だ。

　最新の脆弱性が見つかったのは、OSが異常なDHCPサーバからの悪質なレスポンスを処理するやり方の部分だ。DHCPサーバとは、あるネットワーク上のコンピュータにIPアドレスを割振るネットワークサーバを指す。

　Carrelはセキュリティ警告のなかで、Appleに最初にバグを通知したのは、この警告を発表する48日も前のことだったと主張している。「これほど影響力のある脆弱性の問題に、Macユーザーを2カ月以上も晒したままにしておくのは、公平ではないと思った。反論もあるかと思うが、私は自分の行動を後悔していないし、またApple Computerとそのユーザーに対して公明正大な行動を取ったと感じている」（Carrelのセキュリティ警告より）

　Carrelによると、Appleは12月にパッチをリリースすると述べているという。この脆弱性の回避方法は、セキュリティ警告に詳しく記載されている。