アップル、4件の脆弱性に対処--「Mac OS X」および「iChat」用パッチを公開

　Appleは米国時間2月15日、「Mac OS X」と「iChat」の脆弱性に対処する4件のセキュリティアップデートを公開した。これらの脆弱性は「Month of Apple Bugs」プロジェクトで発見された。

　これらのうち2件の脆弱性は、パッチを当てていないシステム上で攻撃者がコードを実行できるようにしてしまうと、Appleは語っている。パッチは現在、Appleのウェブサイト、もしくはMacの「Apple」メニューにある「ソフトウェア・アップデート」から入手可能となっている。

　Appleは、これらの脆弱性の実証コードがMonth of Apple Bugsウェブサイトで公開されていたことを指摘した。しかし、同プロジェクトが概説したコンセプトを利用した攻撃コードはまだ登場していないようだ。Appleは、同プロジェクトが1月に明らかにした複数の脆弱性に既に対応済みだが、まだ未対応のものもいくつか残っている。

　任意のコードを実行可能にしてしまう2件の脆弱性は、「Finder」とiChatで見つかっている。Finderにはバッファオーバーフローの脆弱性があり、「ユーザーに悪質なディスクイメージをマウントさせる」、もしくはユーザーをだましてリモートサーバ上に保存されているはずのファイルのローカルアクセスを有効にさせると、攻撃者にシステムを乗っ取られる可能性がある。Appleは、この問題を報告してきたMonth of Apple Bugsプロジェクト参加者の1人Kevin Finisterre氏の功績を称えたが、米国時間15日にパッチを用意したほかの3件の脆弱性については何もしていない。

　もう1つのiChat用のパッチは、ユーザーがチャットセッション中に悪質なURLをクリックするとオーバーフローが発生し、攻撃者にシステムを自由にされてしまうという問題に対処している。

　残りの2つのパッチは、悪質なローカルユーザーの関与が必要な脆弱性に対処するものとなっている。このなかには、アプリケーションをクラッシュさせるiChatの別の脆弱性のほか、システムファイルの上書きを可能にする「UserNotification」の脆弱性に対処するパッチも含まれている。