アップル、Mac OS Xのセキュリティアップデートを公開--前回のパッチも修復

　Apple Computerは米国時間3月13日、ここ2週間で2度目となるMac OS Xのセキュリティアップデートを行った。

　このセキュリティアップデート「2006-002」は、前回提供したパッチが引き起こす問題を修復し、新たに発見されたセキュリティ脆弱性を補修するものだ。同社のウェブサイトには、新たな脆弱性の一部は、攻撃者がユーザーと同じ権限をもってコンピュータ上でコードを実行するのに悪用されるおそれがあると記されている。

　同社のソフトウェアテクノロジー担当バイスプレジデントBud Tribble氏は、CNET News.comに対し、「今回のセキュリティアップデートは、当社のダウンロード確認メカニズムをアップグレードし、強化するものである。同メカニズムがダウンロードの妥当性を誤って判断する可能性を低く抑えることが目的だ」と語った。

　Appleは3月に入り、同OSの20個におよぶセキュリティホールを修復するセキュリティアップデートをリリースしていた。このアップデートでは、「Safari」ウェブブラウザ、「Apple Mail」クライアント、「iChat」インスタントメッセージングツールに、ダウンロード確認機能が追加された。ユーザーがダウンロード先へのリンクをクリックした場合、同機能が警告を発する仕組みになっている。

　ところが、このダウンロード確認メカニズムは、無害なファイルのダウンロードにも警告を発してしまうことが明らかになった。Appleは、「セキュリティアップデート『2006-001』は、『Word』ドキュメントやカスタムアイコンを含むフォルダといった安全な種類のファイルをダウンロードする際にも、ユーザーに警告を発してしまう可能性がある」と、セキュリティ勧告の中で述べている。同社によれば、新たなアップデートでこの問題は解消されるという。

　さらに、Appleによる前回のアップデートでは、すべての問題が修復されたわけではなかった。同社は、ユーザーの操作を必要とせずに動作する悪質なファイルが、いまだに存在していると述べた。セキュリティ勧告には、「このたびのアップデートでは、セキュリティアップデート2006-001が対象としていた悪質なファイルの亜種を特定するチェック機能も追加提供している。そうしたファイルが自動的に開かれるのを防ぐためだ」と記されている。

　前回のパッチは、スクリプト開発言語PHPや「rsync」ファイル転送ユーティリティにもエラーを起こさせるものだったという。Appleは、PHP関連の問題によって「SquirrelMail」の動作が阻害され、rsyncの「--delete」コマンドが機能しなくなるおそれがあったと話しているが、これらは今回のアップデートで修復されることになる。

　また、新たに見つかった脆弱性への対応も図られた。発見されたバグの1つは、Apple Mailにおけるバッファオーバーフロー問題で、ユーザーを誘導して電子メールの添付ファイルをダブルクリックさせ、攻撃を仕掛けるものだと、Appleは説明している。このバグが攻撃者に悪用されると、ユーザーと同じ権限の下でコードが実行されるおそれがあるという。

　2つ目の脆弱性は、JavaScriptを含むドキュメントの扱い方に関するものだった。攻撃者は、悪質なファイルをウェブサイトにアップロードすることで、これをクリックしたユーザーのMac OS　X上で、さまざまなアクセス制限を迂回できるようになってしまうと、Appleのセキュリティ勧告には書かれている。

　今回リリースされたSecurity Update 2006-002は、Mac OS Xの「Software Update」経由で入手するか、同社サイトの「ソフトウェアアップデート」ページからダウンロードすることが可能になっている。