米アップル、Mac OS Xのセキュリティホールを修正するパッチを公開

　米Apple Computerは、Mac OS Xに各種の修正を行うセキュリティアップデートを公開した。今回のパッチのなかには、特定の状況でハッカーにコンピュータを乗っ取られてしまうというセキュリティホールをふさぐものも含まれる、

　同社が米国時間19日遅くにリリースしたこのパッチは、Mac OS X 10.2.8（コードネーム「Jaguar」）、Mac OS X 10.3.2（「Panther」）、さらにそれぞれのサーババージョンで、Dynamic Host Communication Protocol（DHCP）サーバへのデフォルト接続設定を変更するもの。　

　DHCPサーバは、コンピュータにTCP/IPアドレスを割り当てるものだが、以前のデフォルト設定では、前出の各OSが動作するMacでは、ローカルネットワーク（LAN）上で見つけたDHCPサーバからデータを受け取るようになっている

　仮にハッカーがLAN上に悪質なDHCPサーバを設置したとすると、以前のデフォルト設定では、これを悪用してコンピュータに悪質なソフトウェアを組み込んだり、そのコンピュータをドローン（ゾンビ）として使い、ほかのシステムに攻撃を仕掛ることができてしまった。

　Appleの関係者によると、ハッカーが内部の人間である必要があるため、この欠陥を悪用したハッキングが発生する確率は低かったという。

　だが、MacユーザーでMac関連のセキュリティサイトを運営するWilliam Carrelによると、企業ネットワークに侵入した外部のハッカーなら、DHCPサーバを追加できたという。これで、そのハッカーはパッチを当てていないデスクトップを完全にコントロールできた。

　「ネットワークにアクセスできれば、だれでもコンピュータの管理者（ハイレベルの）アクセスを取得でき、マシンを再起動すると同時にデータを盗んだり、ほかのコンピュータに攻撃を仕掛けることができるようになる」と、Carrelは自らが運営するサイト上に記している。

　Carrelはこの欠陥を11月に発見していた。

　今回のセキュリティアップデートでは、ほかにもファイルシステムにあるバッファオーバーフローの脆弱性を修正し、DoS（サービス拒否）リクエストを発生させるPantherの別の脆弱性に対処したほか、対象となる各OSのセキュリティ機能を全体的に改善している。

　Appleの関係者は、「今回リリースされたのは総合的なセキュリティアップデートだ」と語った。同社は、DoS（サービス拒否）の脆弱性の発見者としてSecure Network Operationsの名を挙げている。