アップル、AirPortの脆弱性を修正 - (page 2)

　セキュリティ研究者らは、「MacBook」にサードパーティー製ワイヤレスカードを装着してデモを行ったが、同ノートPC内蔵のAirPortもやはり脆弱だとし、Appleコミュニティーに論争を巻き起こしていた。

　Appleは同カンファレンスの後に声明を出し、Macが安全性に欠けるとしたSecureWorksの発言を批判した。同社の関係者はその際、「Macが脅威にさらされているとの発言があったようだが、SecureWorksはその証拠を一切示していない」と述べていた。

　Appleの関係者が21日にCNET News.comに対して語ったところでは、同社のセキュリティアップデートは同カンファレンスで指摘されたものとは無関係だという。この脆弱性は、同社が自社ワイヤレスソフトウェアの存在するバグを独自調査して発見したものだという。

　同関係者は、「Macのワイヤレスドライバに影響する潜在的な脆弱性があるようだ、との連絡が8月にSecureWorksからAppleに対してあった。ところが、彼らは問題の特定につながる情報を一切提供しなかったので、われわれが社内で調査に乗り出した」と語っている。

　同関係者はさらに、「今回のアップデートは、潜在的な脆弱性に対してドライバを事前に強化するものだ。これはAppleが社内で発見した問題に対応したものだが、Macのセキュリティ向上につながるセキュリティ研究者の意見はいつでも聞く用意がある」とも加えた。

　SecureWorksの関係者から直接コメントを聞くことはできなかった。

　Appleが対処した3件の脆弱性は、いずれもAirPortワイヤレスドライバによる「フレーム」の処理方法に関係している。悪質なフレームを作成し、脆弱なMacが利用するワイヤレスネットワークにこれを流せば、攻撃者が脆弱性を悪用できると、Appleは語っている。

　「CVE-2006-3507」と呼ばれる1番目の脆弱性は、ワイヤレス機能を内蔵した「Power Mac」「PowerBook」「iMac」「Mac Pro」「Xserve」、Power PCベースの「Mac mini」に影響がある。「CVE-2006-3508」と呼ばれる2番目の脆弱性は、ワイヤレス機能を搭載したIntelベースのMac mini、MacBook、「MacBook Pro」に影響がある。CVE（Common Vulnerabilities and Exposures）とは、脆弱性に与える名前を標準化して一覧にしたもの。

　Appleによると、「CVE-2006-3509」という3番目の脆弱性は、AirPortワイヤレスドライバとサードパーティー製ワイヤレスソフトウェアとのやりとりに限定されるものだという。これも、ワイヤレス機能を搭載したIntelベースのMac mini、MacBook、MacBook Proの各システムに影響する。

　Appleは、影響を受けるシステムの一覧に「iBook」を含めていない。だが、3件の脆弱性のいずれにも影響を受けないマシンの中にもiBookは含まれていない。