Apple Computerは米国時間15日、Mac OS Xにある44カ所の欠陥を修正するセキュリティアップデートをリリースした。
これだけ多くのパッチが出されることはあまりないが、セキュリティアナリストによると、深刻な脆弱性はごく一部に過ぎないという。
SecuniaのCTO(最高技術責任者)、Thomas Kristensenは、「これは大規模なアップデートだ。ここまで数の多いアップデートは見たことがない」と語っている。
ちなみに、Appleは5月に20件の脆弱性を修正するアップデートをリリースしており、3月にも十数件の欠陥に対処するアップデートを配布していた。
Kristensenは、公表された44件の脆弱性のうち、深刻なものはごく一部にすぎないと述べている。同氏はまた、今回のパッチの4分の1は、攻撃者がエクスプロイトコードをまだ開発していない古い脆弱性を修正するものであるとした。それでも、Secuniaではアップデート全体を「極めて深刻」に分類している。
Appleはこれらの脆弱性に関するコメントを控えており、疑問があれば同社のセキュリティアップデートを参照して欲しいとしている。
これらの欠陥の影響を受けるのは、AppleのMac OS X ver. 10.3.9および10.4.2と、関連するサーバソフトウェア。
Kristensenによると、「AppKit」や「Safari」に関連する一部の脆弱性は深刻なものだという。
RTF(リッチテキストファイル)やWordドキュメントを開くときに使われるAppKitには、攻撃者がバッファオーバーフローを引き起こす悪質なファイルを作成できるようになる欠陥があり、このファイルを利用してユーザーのシステム上で任意のコードを実行されてしまうおそれがある。
これに関して、Appleは、ごく一部のアプリケーションしかAppKitを利用せず、またMicrosoft Word for Mac OS Xは影響を受けないとしている。
一方、Safariにある欠陥は、悪意を持って作成されたリッチテキストファイルをユーザーがクリックすると、攻撃者がブラウザのセキュリティチェックを回避して任意のコマンドを実行できるようにしてしまう。
もう1つの欠陥は、Apacheの修正版であるAppleのSever Manager Dにある脆弱性で、一部ではこれも深刻だと見なされている。
iDefenseのFrank Nagle(脆弱性情報収集担当アシスタントディレクター)によると、この欠陥が原因で、ユーザーが何も操作しなくても、攻撃者がバッファオーバーフローを引き起こしたり、リモートからコードを実行したりすることが可能になるという。
Appleは、これらのほかにも攻撃者がリモートから悪用できるセキュリティ関連の欠陥をいくつか挙げている。だがSecuniaによると、これらはさほど深刻ではないという。
たとえば、Apache 2にある2件の脆弱性が悪用されると、離れた場所にいる攻撃者に、セキュリティ上の制限を回避したり、DoS(サービス拒否)攻撃を仕掛けられてしまう。
しかし、AppleはデフォルトではApache 2を設定していないため、同じ脆弱性がApache 1.3にあった場合ほど大きな問題ではないと、Nagleは述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス