アップル、OS Xのセキュリティアップデートを公開--13件の脆弱性に対応

　Apple Computerは米国時間11月29日、Mac OS X 10.4.3（Tiger）とMac OS X 10.3.9（Panther）に見つかった10数件の「極めて深刻」な脆弱性を修正するセキュリティアップデートを公開した。

　今回のセキュリティアップデートでは、ウェブサーバのApache 2やcurl、Safariブラウザに関連するものなど、合わせて13件の脆弱性が修正される。これらの脆弱性には、攻撃者にDoS（サービス拒否）攻撃を許すものや、リモートからのシステム乗っ取りを可能にするものなどが含まれている。

　「これらのうちで最も深刻なのは、Safariが使うcurlとPCREライブラリのなかにみつかった脆弱性だ」と、セキュリティ対策企業SecuniaのCTO（最高技術責任者）、Thomas Kristensenは述べている。Secuniaでは、これらの脆弱性を同社の評価で上から2番めにあたる「非常に重要」に分類している。

　Kristensenによると、SafariのJavaScriptエンジンが利用するPCREライブラリの脆弱性には、かなりの数のアプリケーションに影響を与える可能性があるという。Safariブラウザのユーザーが悪質なウェブサイト上でうっかりリンクをクリックしてしまうと、この欠陥が悪用され、リモートから自分の使うシステム上でコードを実行されるおそれがある。

　curlの脆弱性には、悪質なウェブサイトにアクセスした場合に悪用される可能性がある。このライブラリは大容量ファイルのダウンロードに頻繁に利用されている。Kristensenによれば、悪質なサイトでシステム内にcurlが存在することがわかると、この脆弱性を悪用され、リモートからコードを実行されるおそれがあるという。

　今回のアップデートには、WebKitのバウンダリエラーに関連する脆弱性を修正するものも含まれている。Kristensenによると、AppleがWebKitの脆弱性に対応するのは、ここ4カ月間で2度めになるという。

　この脆弱性を攻撃者に悪用されると、乗っ取られたシステムからDoS攻撃を仕掛け、ターゲットにされたマシンでバッファオーバーフローを引き起こすことや、リモートからコードを実行してシステムを乗っ取ることもできてしまう。なお、以前に明らかにされたWebKitの脆弱性はPDFドキュメントの取り扱いに関するものだった。

　Appleは今月に入って、Mac OS Xで見つかった4件の脆弱性を修正するパッチを公開していた。