「Month of Apple Bugs」プロジェクトに対抗-- Darwin主要アーキテクトがパッチ公開

　Kevin Finisterre氏と「LMH」と名乗る2人の研究が開始した、Apple Computer製ソフトウェアの脆弱性を発見して公開するプロジェクトに対して、あるソフトウェアエンジニアがパッチを迅速に公開していくことを約束した。

　「Month of Apple Bugs（MOAB）」と呼ばれるこのプロジェクトは、米国時間1月1日に開始され、Apple製ソフトウェアの脆弱性を1月中に毎日報告することを目的としている。これに対して、Appleでの勤務経験もあるオープンソース開発者の1人が、公開された脆弱性についてパッチを提供する意志があることを明らかにした。

　Landon Fuller氏は、AppleのBSD Technology Groupの技術者であり、Darwinの主要アーキテクトの1人でもある。Darwinとは、単独またはMac OS用コンポーネントのコアセットとして機能するよう設計されているオープンソースのUNIXライクなOSである。現時点でFuller氏は、同プロジェクトで公開された2件の脆弱性に対するパッチを既に公開している。

　MOABプロジェクトは1日、AppleのQuickTimeがReal Time Streaming Protocol（RTSP）を扱う方法に脆弱性がある、と勧告を公開した。攻撃者は、特別なRTSPの文字列の含まれる不正なQuickTimeのファイルを作成することで、バッファオーバーフローの発生を可能にできる、と同勧告では述べている。

　Fuller氏は2日、Application Enhancerを使用するQuickTimeの脆弱性パッチを公開した。Application Enhancerとは、システム稼働時のアプリケーションの動作を改善するソフトウェアである。同氏は自身のブログで「頭の体操として、また、社会奉仕として、Application Enhancerを利用する、最初の問題のランタイムフィックスを作成した」と記している。同氏は「時間があれば（または支援が得られれば）、1月中に1日1件公開されるという他の脆弱性についてもパッチを作成したい」と述べている。

　さらにFuller氏は同日、2番目の脆弱性についてもパッチを公開している。この脆弱性は、オープンソースのVLCメディアプレーヤーにあるフォーマットストリングの脆弱性で、任意のコードをリモートから実行することに使われる可能性がある、とMOABプロジェクトでは警告している。VLCでは、Kevin Finisterre氏からの報告を受けた直後にパッチを公開している。

　Fuller氏は、MOABプロジェクトがまだ公表していない脆弱性についてパッチ開発の支援を呼びかけており、十分な関心が得られるようならメーリングリストを開始するとも述べている。

　「明日のMOAB脆弱性について支援を考えているなら、遠慮なくパッチや情報を提供してほしい。関心が高いならメーリングリストの開始も考えている」とFuller氏はブログに記している。