セキュリティ企業、最新版「Mac OS X」のJava脆弱性で警告--実証コードを公開

　Macintosh向けのセキュリティコンサルティングを手がける企業SecureMac.comは米国時間5月19日、Appleの「Mac OS X」のJavaにパッチ未対応のセキュリティ脆弱性があるとして、「重大」レベルの警告を発した。

　この脆弱性を発見したというLandon Fuller氏によると、問題とされているJavaの脆弱性は、12日にリリースされたばかりのMac OS X最新版「Mac OS X 10.5.7」でも解決されていないという。そこでFuller氏は、このセキュリティホールのコンセプト実証コード公開に踏み切った。

　この脆弱性は、SecureMacが「自動ダウンロード」と呼ぶ行為の実行に使われる恐れがある。これはウェブページを訪問するだけで、コンピュータを感染させてしまうものだ。Fuller氏はこの脆弱性により、悪意あるコードがその時点のユーザー権限で命令を実行可能になると説明している。

　Fuller氏が自身のサイトに掲載した内容からは、Mac OS Xの最新版でもいまだにこの脆弱性が未対策であることに、同氏が憤慨し困惑している様子がはっきりと見てとれる。

　Fuller氏は同サイトで「残念ながら、Mac OS Xのセキュリティ問題の多くは、その深刻性が十二分に証明されない限り無視されるということのようだ」と述べている。「この問題点が誰でも悪用可能な状態で放置されており、さらには脆弱性が周知の事実になり6カ月たつことから、私は自作のコンセプト実証コードを発表し、実例によって問題点を示すことを決断した」

　Appleの広報担当者Monica Sarkar氏は「その問題は承知しており、修正に取り組んでいるところだ」と述べたが、修正にかかる具体的期間を示すことはなく、それ以上のコメントは拒否した。

　Fuller氏のコンセプト実証コードは、「完全にパッチ対策済みの」IntelおよびPowerPC Macで実行される。

　この脆弱性の現時点での回避策としては、ユーザーが利用するブラウザでJavaアプレットの利用を無効にし、さらにSafariの環境設定にある「ダウンロード後、安全なファイルを開く」のチェックを外すことしかないとFuller氏は述べている。