Macにパッチ未公開の脆弱性--セキュリティ研究者が先に情報公開

　Apple Computerは米国時間21日、Mac OS Xにある複数のセキュリティ脆弱性について、調査を進めていることを明らかにした。この脆弱性は、対応するパッチがまだ公開されておらず、深刻な影響を及ぼす可能性があることが、すでに明らかにされている。

　カリフォルニア州ミッションビエホ在住のセキュリティ研究者、Tom Ferris氏は20日の晩に、AppleのOSにある7件の脆弱性についての情報を公開した。これらの脆弱性により、Macユーザーがサイバー攻撃を受ける可能性があるが、なかでも最も深刻なものを悪用されると、攻撃者によって、ユーザーが気付かぬうちにマシン上で悪質なコードを実行されるおそれがあると、Ferris氏はインスタントメッセージングでのインタビューのなかで語った。

　AppleのBud Tribble氏（ソフトウェア技術担当バイスプレジデント）はCNET News.comに対し、「われわれは現在、これに関する調査と対応を進めているところだ」と述べている。「これらは潜在的な脆弱性ではあるが、エクスプロイトコードの公開はまだ確認されておらず、現時点で顧客に影響はないことを指摘しておくことは重要だと思う」（Tribble氏）

　Ferris氏の公開したセキュリティ情報によると、これらの脆弱性のうち5件は、Mac OSがBMPやTIFF、GIFといった画像ファイルを扱う方法に関するものだという。また、もう1つの欠陥はOS XによるZipアーカイブの解凍方法に関するもので、さらに同氏はAppleのSafariブラウザのなかにも複数のバグを発見したと主張している。

　「画像関連の脆弱性が最も怖い。これらの脆弱性によって、攻撃者がホストを危険にさらす複数の方法を手にすることになるからだ」とFerris氏は言う。「これらの脆弱性を見つけるのは難しくなかった。そして、これらを悪用すれば任意のコードをかなり容易に実行することができる」（Ferris氏）

　Appleは、TIFF画像ファイルの処理に関する脆弱性の1つを、10.4.6のアップデートでひっそりと修正していたと、Ferris氏は述べている。だが同氏は、ほかのバグはまだ修正されていないとし、この問題を今年に入ってAppleに報告済みであると付け加えた。

　Appleは、このセキュリティ脆弱性を公表してもだれの役にも立たないとの考えだが、これは大半のソフトウェアメーカーにも共通する立場だ。「潜在的な問題を公表されても、顧客に何らかのメリットがあるとは思えない。一般的には、問題を知る必要があるのは実際にバグを修正できる人だけで良いと思う」（Tribble氏）

　Ferris氏はこれまでにも、iTunesやQuickTimeなど複数のApple製品や、Firefoxウェブブラウザに関する脆弱性の情報を、正式なパッチが用意される前に公開したことがあった。

　セキュリティ監視企業のSecuniaと、FrSIRT（French Security Incident Response Team）はそれぞれ、最新のMac OS Xの問題を「非常に重大」あるいは「重要」としている。

　Secuniaは勧告のなかで、「AppleのMac OS Xでは複数の脆弱性が特定されており、これを攻撃者が悪用すれば、任意のコマンドを実行したり、DoS（サービス拒否）を引き起こせるようになる」と述べている。同社では、同OSのユーザーに対し、これらの攻撃から身を守るため、信頼できないサイトにアクセスしたり、怪しいZipアーカイブや画像を開いたりしないように呼びかけている。

　Appleは、まもなく投入するセキュリティアップデートでこの問題に対処する見通しだが、このパッチをいつ公開するかは明らかにしなかった。「われわれの目標は、すみやかにパッチを投入するだ。どこまで早くできるかは、得られる情報の量や取り組む部分の複雑性など、さまざまな要因によって変わってくる」（Tribble氏）