Apple、『Mac OS X』の大規模なセキュリティアップデート

Apple Computer (NASDAQ:AAPL) は7日、『Mac OS X 10.2』(Jaguar) および『Mac OS 10.3』(Panther) の脆弱性15か所を修正するセキュリティアップデートをリリースした。

同社のセキュリティ勧告 によると、攻撃者がもっとも深刻な脆弱性を突いた場合、遠隔的に任意のコードを実行してシステムを乗っ取ってしまう恐れがあるという。

今回のセキュリティアップデートは、「CoreFoundation」「IPSec」「Kerberos 5」をはじめ、いくつかのコンポーネントが対象となる。Kerberos 5 はネットワーク認証プロトコルで、その修正プログラムは、開発者のマサチューセッツ工科大学 (MIT) が8月31日にリリースしていた。

アップデートは、Web ブラウザ『Safari』の修正や、「libpcap」「lukemftpd」「NetworkConfig」「OpenLDAP」「OpenSSH」「PPPDialer」「rsync」「tcpdump」といったコンポーネントの修正も含んでいる。

Apple によると、CoreFoundation の修正では、バッファオーバーフロー攻撃に悪用されかねない環境変数について、妥当性をチェックする機能を入れたという。

同社は、「攻撃者がローカル環境変数を操作してバッファオーバーフローを引き起こし、離れた場所から任意のコードを実行しかねない」と警告している。

しかし、Mac OS の場合、より深刻な Kerberos の脆弱性については心配がないと言い、その理由を次のように説明している。

「バッファオーバーフローが起きるのは、edu.mit.Kerberos ファイル内で auth_to_local_names サポートあるいは auth_to_local サポートの設定になっている時に限られる。だが、わが社は初期設定ではどちらも有効にしていない」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール