アップル、Mac OS X 10.3.9用のパッチを公開--20件の脆弱性を修正

Dawn Kawamoto(CNET News.com)2005年05月06日 14時28分

 Apple Computerは米国時間3日、Mac OS Xに見つかった20件の欠陥を修正するパッチをリリースした。

 Appleの勧告によると、この脆弱性が見つかったのはMac OS X 10.3.9およびMac OS X Server 10.3.9だという。同社が前回Mac OS Xのパッチを公開したのはほぼ1カ月前のことで、この時には10数件の欠陥に対応していた。

 また、今回のパッチは「Panther」と呼ばれる前バージョンのみに適用される。先ごろ鳴り物入りで発売になったばかりのMac OS X 10.4「Tiger」ではすでにこれらの欠陥 は修正されているという。

 セキュリティベンダーのSecuniaは4日、OS Xに見つかったこれらの欠陥について「極めて深刻」とするコメントを発表し、なかでもTIFFファイルの処理に関するAppKitの脆弱性を最も懸念される欠陥の1つだと述べた。

 「もし悪質な改ざんが施されたTIFFを表示すると、任意のコードが実行されてしまう場合がある。通常、TIFFは安全な表示形式だと考えられているが、そのことがさらに深刻度を高めている」(SecuniaのCTO、Thomas Kristensen)

 さらに、AppleScriptの欠陥も懸念の的になっている。この欠陥が悪用されると、あるウェブサイトにアクセスしたユーザーのマシンに、そのサイトからAppleScriptを送り、ユーザーが予想したものとは異なるコードを実行することが可能になってしまうと、Kristensenは述べている。

 一方、Apacheウェブサーバに関係する欠陥は、htdigestプログラムでバッファオーバーフローを引き起こす可能性がある。もしこれがCGIアプリケーションで悪用されると、離れた場所にあるシステムからの攻撃が可能になるという。

 ただし、Secuniaはこの欠陥についてはあまり重視していない。

 「Apacheのバグも重要だが、これを悪用するのは相当困難で、普通では考えられない設定になっている必要がある」(Kristensen)

 同OSのBluetoothワイヤレス機能にも脆弱性が2件見つかった。1つは、ユーザーに適切な通知が行われずにファイルが共有されてしまう可能性があるというもので、もう1つは、Bluetoothファイルやオブジェクト交換サービスを経由すると、デフォルトのファイル交換ディレクトリの外にあるファイルに悪質な攻撃者がアクセスできるようになってしまうというものだ。

 この勧告によると、さらにもう1つ、本来与えられるべきでないユーザーにアクセス権を与えるようディレクトリサービスが改ざんされてしまう欠陥もあるという。

 Appleが発表したOS Xのパッチには、Finder、Foundation、ヘルプビューワ、LDAP、libXpm、lukemftpd、NetInfo、サーバ設定、sudo、ターミナル、およびVPNの修正も含まれている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]