アップル、Mac OS X用パッチ公開--31件の脆弱性に対応

　Apple Computerは米国時間11月28日、同社OS「Mac OS X」のセキュリティアップデートを公開し、Wi-Fiハイジャックのゼロデイ脆弱性を含む31件の脆弱性に対応した。

　Appleが公開したSecurity Update 2006-007では、Apple独自のコードとともに、Mac OS Xに含まれるPerl、PHP、OpenSSLといったサードパーティー製コンポーネントの脆弱性も修正されている。これら脆弱性の一部は、システムの乗っ取りを可能にすると、同社セキュリティ警告では説明している。

　しかし、今回のアップデートは、同OSで既に知られている脆弱性すべてに対応したわけではない。過去数週間にわたり、「Month of the Kernel Bugs」と呼ばれる取り組みの一環として、同OSで発見された複数の脆弱性に関する詳細が公表されてきた。そのうち1件は、セキュリティ監視会社Secuniaにより「きわめて深刻（highly critical）」と認定されている

　「LMH」と呼ばれ、Month of the Kernel Bugsを開始したセキュリティ研究家は、「AirPortに関する問題を除いて、AppleはMonth of Kernel Bugsで発見されたバグにまったく対応していない」と述べた。「Appleユーザーは、パッチ未対応の問題において危険にさらされたままだ」（LMH氏）

　AirPortのドライバソフトウェアにあるセキュリティホールは、AirPortカードを搭載したMacに影響するもので、AirMac Extremeカードを装備したシステムには影響しないとAppleでは述べている。攻撃者は、地理的に近い所から悪意を持って作成されたネットワークパケットを送信し、脆弱なコンピュータを乗っ取ることが可能となる、と同社の警告は説明する。

　今回のアップデートは、悪意あるサイト、不正な圧縮ファイル、そして、悪意あるフォントファイルを使うことでMacの乗っ取りを可能にする脆弱性にも対応している、とAppleでは述べている。また、Security Frameworkにある4件の脆弱性にも対応している。これらの脆弱性には、Macをクラッシュさせたり、期限切れのセキュリティ証明書を期限内と表示したりするものが含まれる。

　Mac OS Xクライアントおよびサーバ用のSecurity Update 2006-007は、Mac OSのシステム環境設定にある「ソフトウェアアップデート」から、または、Appleのウェブサイトから入手可能となっている。Appleでは同アップデートのインストールをMacユーザーに推奨している。