アップル、Mac OS XとQuickTimeの修正パッチを公開--深刻レベルの脆弱性に対応

　Mac OS XとQuickTimeの両ソフトウェアに深刻な脆弱性が存在すると、Apple Computerが警告している。同社によれば、これらの脆弱性の中には、MacintoshとWindowsの両システムへのサイバー攻撃を誘発するものも含まれるという。

　Appleは米国時間5月11日、セキュリティ情報2件をリリースし、同社製OSの複数のバージョンに存在する脆弱性31件と、メディアプレイヤーソフトウェアQuickTimeに存在する12件の脆弱性を明らかにした。セキュリティ専門家らは、この問題を「深刻」なものと評価しているが、Apple自身は危険度に言及していない。修正パッチは既に公開済み。

　Appleの勧告によると、Mac OS Xの脆弱性は、さまざまなコンポーネントに存在し、サーバ向けとクライアント向けの両バージョンに影響するという。同社によると、これらの不具合は、不正なファイルを作成したり、悪質なウェブサイトを構築してターゲットをおびき寄せたりすることを許してしまうものであるという。

　セキュリティ監視企業FrSIRT（French Security Incident Response Team）は勧告を出し、「攻撃者がこれらの脆弱性を悪用すれば、任意のコマンドの実行や、セキュリティの回避、機密情報の入手、DoS（サービス拒否）攻撃を実行することができてしまう」と述べた。

　今回のパッチリリースは、2006年2月に明らかになったセキュリティ脆弱性を完全に解消するためにAppleが苦戦していることを示唆している。今回のパッチは、悪質なウェブサイトや電子メールから入ってくる危険なコードのインストールからMacユーザーを守る「ダウンロード検証」機能の問題を解決している。これは従来、Windowsユーザーが警戒してきたタイプの問題だ。

　Appleでは、3月上旬にリリースしたセキュリティアップデートでこの機能を追加した。さらに同社は、2週間後にも別のアップデートをリリースし、その機能に関する問題をいくつか修正した。Appleによると、11日に公開された修正は、ファイル名に長い拡張子が付いていると項目を開くためのアプリケーションがダウンロード検証により正しく判断されないことがあるという別の問題に対応しているという。

　悪質なファイルをインストールしてしまうリスクに対処するにはダウンロード確認機能では不十分で、AppleはOSの下位レベルで問題を修正する必要がある、との批判が、アナリストらから出ている。

　一方、QuickTimeの脆弱性は、Mac OS XとWindowsの両コンピュータへの攻撃を誘発する可能性がある。これらの脆弱性はすべて、同ソフトウェアによる特定のファイルの処理方法に原因がある。Appleは勧告のなかで、侵入者は、JPEG、QuickTime、Flash、MPEG4、AVIなど、特定フォーマットの不正ファイルを作成することで脆弱なシステムを乗っ取ることができてしまうと述べている。