アップル、「Mac OS X」用セキュリティアップデートをリリース

　Appleは米国時間11月9日、「Mac OS X」の大規模なセキュリティアップデートをリリースした。多数の脆弱性が修正され、ドメインの正当性確認に使用されるプロトコルの脆弱性を利用する潜在的な攻撃に対する保護が提供されている。

　「Mac OS X v.10.6.2」と同じ日にリリースされた「Security Update 2009-006」では、43件の問題に対処している。

　「Mac OS X v10.5.8」「Mac OS X v10.6」「Mac OS X v10.6.1」および「Mac OS X Server v10.6」「Mac OS X Server v10.6.1」における多様な脆弱性が修正されている。その多くは、任意のコードの実行を可能とし、攻撃者にコンピュータの制御を与える恐れのあるものであった。

　「Apache」と「QuickTime」に影響を与えるアップデートが数件存在する。他には、「AFP Client」「Apple Type Services」「Core Graphics」「CoreMedia」「辞書」「ディスクイメージ」「Dovecot」「DirectoryService」「fetchmail」「FTPサーバ」「ヘルプビューア」「カーネル」「PHP」「QuickDraw Manager」「Spotlight」に関するものがある。

　SSHログインパスワードを推測するためのブルートフォース（総当たり）攻撃や辞書攻撃を可能とする「Adaptive Firewall」の脆弱性や、パスワードを入力することなくユーザーが任意のアカウントにログインすることを可能とする「ログインウインドウ」の脆弱性を修正するアップデートも存在する。

　いくつかのアップデートは、送信中のデータの暗号化に使用されるSSL（Secure Sockets Layer）を利用したドメインスプーフィング（なりすまし）、または中間者（man-in-the-middle）攻撃を可能とする脆弱性に対するものである。SSL接続を生成する「X.509」プロトコルの深刻な脆弱性などが修正されている。

　libsecurity機能に関連するアップデートもあり、「MD2ハッシュアルゴリズムに対する攻撃の強化に先立ち、ユーザーを保護するための予防的な変更」と記されている。MD2ハッシュアルゴリズムに対する攻撃は、なりすまし攻撃や情報漏えいといった被害をユーザーに与える恐れがある。

　セキュリティアップデートには、「MD2ハッシュアルゴリズムには、暗号に関する既知の脆弱性がある。高度な攻撃者は、暗号を詳細に調べることで、システムが信頼するような値を制御し、X.509証明書を作成することができる」と記されている。「これにより、X.509ベースのプロトコルが、なりすまし攻撃や中間者攻撃、情報漏えいにさらされる可能性がある。現時点で、このような脆弱性を悪用した攻撃はコンピュータ的に実行可能とされていないが、このアップデートでは、信頼できるルート証明書以外では、MD2ハッシュを用いるX.509証明書のサポートを無効にしている」（セキュリティアップデート）