完全ではなかったMac OS Xのセキュリティパッチ

　Apple Computerは先週、Mac OS Xに見つかった欠陥を修正するパッチをリリースしたが、これに関してセキュリティ専門家らは25日（米国時間）、この問題の根本的な部分が修正されておらず、同OSユーザーはまだこの欠陥の脅威にさらされていることを明らかにした。

　このセキュリティホールは、ユーザーが騙されて、悪質なプログラムが仕込まれた偽のウェブページにアクセスすると、攻撃者がMacにプログラムをダウンロードして実行できてしまうというもの。

　「私の考えでは、これはOS Xで初めての重大な脆弱性だ」と、セキュリティ研究者でドメイン登録会社Network Solutionsの元セキュリティ責任者のRichard Fornoは言う。「パッチをダウンロードしてみたところ、修正されている部分とされていない部分があり、まだやらねばならないことが残っているようだ」（Forno）

　他にも2つのソフトウェアメーカーが、未修正の問題が残っていることを確認している。セキュリティ情報会社のSecuniaは、この脆弱性がAppleが当初考えていたよりも広範囲に及んでいると判断し、危険度評価を「極めて重大」に引き上げた。また、独立系ソフトウェアメーカーのUnsanityは今週、この問題を回避するツールと、その詳細を記した報告書をリリースした。

　Appleはコメントを拒否している。同社は脆弱性のニュースがインターネットに流れた後、21日にオリジナルのパッチをリリースしていた。

　この脆弱性には、実際には2つの欠陥が含まれている。1つはユーザーが、Mac OS Xのセキュリティを迂回するよう仕込まれたURLをクリックすると、ウェブサイトからMacのハードディスクにファイルが保存されてしまうというもの。もう1つは、ファイルの在処が分かっていれば、攻撃者が別のユーザーのコンピュータからそのファイルを実行できるという欠陥だ。この2つの欠陥が一緒に悪用されると、インスタントメッセージ（IM）やメールを使って広まるウイルスが作成される大きなセキュリティホールとなる。

　おそらく最大の問題は、簡単な解決策が存在しそうにないことだと、UnsanityのプログラマJason Harrisは同社の報告書に記している。

　「この機能を持つアプリケーションには、悪質なものだけでなく便利なものも多い。つまり、Appleは便利な機能をMac OS Xや既存のアプリケーションから削除しないかぎり、この問題を簡単には修正できない、ということだ」（Harris）