アップル、セキュリティ勧告の「不適切」な分類に再三の批判

　あるセキュリティ研究者が、Apple Computerに対して、自社が勧告したセキュリティに関する欠陥の深刻度を適切に分類しなかったとして批判を浴びせている。

　Appleは米国時間3日に、Mac OS Xのさまざまなコンポーネントに影響を及ぼす5件の脆弱性を修正するパッチをリリースした。今回修正されたなかでも危険性が最も大きかったのは、Appleファイル共有システムにあるバッファオーバーフローで、この欠陥をついた攻撃者にリモートからシステムをコントロールされてしまう可能性がある。ところが同社は、この問題を「長いパスワードの処理を改善するため」の修正だと説明していた。

　「Appleは、ユーザーがセキュリティ対応をとれるような分類を行っていない」というのは、この欠陥を発見しAppleに報告したデジタルセキュリティ企業@StakeのChris Wysopal（同社研究開発担当バイスプレジデント）。同氏はさらに、「彼らは、だれでも自分のコンピュータを毎回アップデートすると思っているようだが、世の中そのようにはいかない」と語った。

　セキュリティ関連企業の大半は、通常リモートから悪用できるソフトウェアの欠陥を「深刻な」脆弱性に分類している。

　Appleがシステムの脆弱性を軽視したことを非難した研究者は、今週に入ってWysopalで2人目となる。AppleのQuickTimeプレイヤーにある欠陥を2月に発見したeEye Digital Securityも、Appleが脆弱性を適切に分類していないとして、同社を批判していた。

　Appleは、Mac OS X用QuickTimeプレイヤーで見つかった欠陥が、同ソフトをクラッシュさせる可能性があることを明らかにしていた。同社が4月30日午後に公表した勧告の中には、「不正なつくりの.mov（ムービー）ファイルを再生すると、QuickTimeが異常終了する可能性がある」と書かれていた。

　しかしeEyeは、ユーザーがファイルを開いたときに悪質なコードを実行するムービーファイルを作成できると説明している。

　eEyeチーフハッキングオフィサーのMarc Maiffretは、「われわれはAppleに対して、コードを実行できないときには、連絡してくれれば問題を説明すると伝えた」と語った。

　この件に関し、Appleの関係者からコメントを得ることはできなかった。

　AppleFileServerの欠陥を含む4つの欠陥は、「Jaguar」の最新版であるMac OS X 10.2.8に影響する。また、5つの欠陥すべてが「Panther」の最新版Mac OS X 10.3.3に影響を与える。