Apple Computerは先週、Mac OS Xに見つかった欠陥を修正するパッチをリリースしたが、これに関してセキュリティ専門家らは25日(米国時間)、この問題の根本的な部分が修正されておらず、同OSユーザーはまだこの欠陥の脅威にさらされていることを明らかにした。
このセキュリティホールは、ユーザーが騙されて、悪質なプログラムが仕込まれた偽のウェブページにアクセスすると、攻撃者がMacにプログラムをダウンロードして実行できてしまうというもの。
「私の考えでは、これはOS Xで初めての重大な脆弱性だ」と、セキュリティ研究者でドメイン登録会社Network Solutionsの元セキュリティ責任者のRichard Fornoは言う。「パッチをダウンロードしてみたところ、修正されている部分とされていない部分があり、まだやらねばならないことが残っているようだ」(Forno)
他にも2つのソフトウェアメーカーが、未修正の問題が残っていることを確認している。セキュリティ情報会社のSecuniaは、この脆弱性がAppleが当初考えていたよりも広範囲に及んでいると判断し、危険度評価を「極めて重大」に引き上げた。また、独立系ソフトウェアメーカーのUnsanityは今週、この問題を回避するツールと、その詳細を記した報告書をリリースした。
Appleはコメントを拒否している。同社は脆弱性のニュースがインターネットに流れた後、21日にオリジナルのパッチをリリースしていた。
この脆弱性には、実際には2つの欠陥が含まれている。1つはユーザーが、Mac OS Xのセキュリティを迂回するよう仕込まれたURLをクリックすると、ウェブサイトからMacのハードディスクにファイルが保存されてしまうというもの。もう1つは、ファイルの在処が分かっていれば、攻撃者が別のユーザーのコンピュータからそのファイルを実行できるという欠陥だ。この2つの欠陥が一緒に悪用されると、インスタントメッセージ(IM)やメールを使って広まるウイルスが作成される大きなセキュリティホールとなる。
おそらく最大の問題は、簡単な解決策が存在しそうにないことだと、UnsanityのプログラマJason Harrisは同社の報告書に記している。
「この機能を持つアプリケーションには、悪質なものだけでなく便利なものも多い。つまり、Appleは便利な機能をMac OS Xや既存のアプリケーションから削除しないかぎり、この問題を簡単には修正できない、ということだ」(Harris)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」