完全ではなかったMac OS Xのセキュリティパッチ

Robert Lemos (CNET News.com)2004年05月26日 09時29分

 Apple Computerは先週、Mac OS Xに見つかった欠陥を修正するパッチをリリースしたが、これに関してセキュリティ専門家らは25日(米国時間)、この問題の根本的な部分が修正されておらず、同OSユーザーはまだこの欠陥の脅威にさらされていることを明らかにした。

 このセキュリティホールは、ユーザーが騙されて、悪質なプログラムが仕込まれた偽のウェブページにアクセスすると、攻撃者がMacにプログラムをダウンロードして実行できてしまうというもの。

 「私の考えでは、これはOS Xで初めての重大な脆弱性だ」と、セキュリティ研究者でドメイン登録会社Network Solutionsの元セキュリティ責任者のRichard Fornoは言う。「パッチをダウンロードしてみたところ、修正されている部分とされていない部分があり、まだやらねばならないことが残っているようだ」(Forno)

 他にも2つのソフトウェアメーカーが、未修正の問題が残っていることを確認している。セキュリティ情報会社のSecuniaは、この脆弱性がAppleが当初考えていたよりも広範囲に及んでいると判断し、危険度評価を「極めて重大」に引き上げた。また、独立系ソフトウェアメーカーのUnsanityは今週、この問題を回避するツールと、その詳細を記した報告書をリリースした。

 Appleはコメントを拒否している。同社は脆弱性のニュースがインターネットに流れた後、21日にオリジナルのパッチをリリースしていた。

 この脆弱性には、実際には2つの欠陥が含まれている。1つはユーザーが、Mac OS Xのセキュリティを迂回するよう仕込まれたURLをクリックすると、ウェブサイトからMacのハードディスクにファイルが保存されてしまうというもの。もう1つは、ファイルの在処が分かっていれば、攻撃者が別のユーザーのコンピュータからそのファイルを実行できるという欠陥だ。この2つの欠陥が一緒に悪用されると、インスタントメッセージ(IM)やメールを使って広まるウイルスが作成される大きなセキュリティホールとなる。

 おそらく最大の問題は、簡単な解決策が存在しそうにないことだと、UnsanityのプログラマJason Harrisは同社の報告書に記している。

 「この機能を持つアプリケーションには、悪質なものだけでなく便利なものも多い。つまり、Appleは便利な機能をMac OS Xや既存のアプリケーションから削除しないかぎり、この問題を簡単には修正できない、ということだ」(Harris)

 

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]