Appleは米国時間5月24日、「Mac OS X 10.3.9」「Mac OS X Server 10.3.9」「Mac OS X 10.4.9」「Mac OS X Server 10.4.9」の各OSを対象としたセキュリティアップデートを発表した。このセキュリティアップデートのうち、最も重要なものは「CoreGraphics」向けとなる。攻撃者は、特別に作成したPDFファイルをユーザーに開かせることで、CoreGraphicsのセキュリティ脆弱性を悪用する。その結果、アプリケーションのクラッシュとオーバーフローが発生し、悪意あるコードの実行が可能となる。このほかの重要なパッチとして、Bind、Fetchmail、GNU Screen向けのものも配布されている。このアップデートは、Mac OS Xの「システム環境設定」にある「ソフトウェアアップデート」機能を利用するか、Appleのウェブサイト内の「ダウンロード」から入手できる。
Alias Manager向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けで、CVE-2007-0740で説明されている脆弱性に対応する。この脆弱性を利用することで、悪意あるプログラムをインストールできる。
BIND向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けで、CVE-2007-0493、CVE-2007-0494、CVE-2006-4095、CVE-2006-4096で説明されている脆弱性に対応する。この脆弱性を利用することで、遠隔からDoS攻撃を起こすことができる。
CoreGraphics向けのパッチ:Mac OS X 10.4.9、Mac OS X Server 10.4.9向けで、CVE-2007-0751で説明されている脆弱性に対応する。悪意を持って作成されたPDFファイルを開くことでアプリケーションのクラッシュや悪意あるコードの実行が可能になる場合がある。
crontabs向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けで、CVE-2007-0740で説明されている脆弱性に対応する。この脆弱性を利用することで、遠隔からDoS攻撃を起こすことができる。
Fetchmail向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-1558で説明されている脆弱性に対応する。この脆弱性を利用することで、Fetchmailのパスワード情報を入手できる。
file向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-1536で説明されている脆弱性に対応する。この脆弱性を利用することで、アプリケーションのクラッシュや悪意あるコードの実行が可能になる場合がある。
iChat向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-2390で説明されている脆弱性に対応する。この脆弱性を利用することで、悪意あるプログラムをインストールできる。
mDNSResponder向けのパッチ:Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-2386で説明されている脆弱性に対応する。この脆弱性を利用することで、DoS攻撃の開始または任意のコードの実行が可能になる場合がある。
PPP向けのパッチ:Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-0752で説明されている脆弱性に対応する。この脆弱性を利用することで、特権を昇格できる。
ruby向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2006-5467およびCVE-2006-6303で説明されている脆弱性に対応する。この脆弱性を利用することで、DoS攻撃を開始できる。
GNU Screen向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2006-4573で説明されている脆弱性に対応する。
texinfo向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2005-3011で説明されている脆弱性に対応する。この脆弱性を利用することで、他のユーザーがtexinfoを実行し、任意のファイルを書き換えられるようになる可能性がある。
VPN向けのパッチ:Mac OS X 10.3.9、Mac OS X Server 10.3.9、Mac OS X 10.4.9、Mac OS X Server 10.4.9向けのパッチで、CVE-2007-0753で説明されている脆弱性に対応する。この脆弱性を利用することで、特権を昇格できる。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス