『Mac OS X』、2005年初のセキュリティアップデート

この記事のURLhttp://japan.internet.com/webtech/20050131/11.html

Apple Computer (NASDAQ:AAPL) は25日、2005年に入って初めて、オペレーティングシステム『Mac OS X』のセキュリティアップデートを公開した。

このセキュリティアップデート『Security Update 2005-001 for Mac OS X』は、同 OS に含まれている、UNIX 由来の「at」コマンド群、ライブラリ (libxml2)、カラー表示技術『ColorSync』、ブラウザ『Safari』、Eメールソフトウェア『Mail』に関するセキュリティ問題に対応するとともに、Web アプリケーション開発言語『PHP』およびサードパーティ製 Eメールソフトウェア『SquirrelMail』に固有の問題にも対応した。Apple がアップデートを呼びかけている対象は、サーバー版あるいはクライアント版の『Mac OS X 10.3.7』『Mac OS X 10.2.8』だ。

at コマンド群のアップデートでは、Apple が「ローカル権限昇格脆弱性」と呼ぶ問題を修正する。この脆弱性を放置すると、ローカルユーザーが、自分のものでないファイルを削除したり、権限を上げてプログラムを実行したり、通常なら読むことのできないファイルの内容を読んだりしかねない、という。今回のアップデートで対処したコマンドは、「at」「atrm」「batch」「atq」「atrun」の5つだ。

もう1つの重要なアップデートは、libxml2 ライブラリに入っていた危険なコードの問題を修正したことだ。Apple によると、同ライブラリには、リンクしたアプリケーション内でそのコードが悪用されかねない脆弱性があり、その弱点を突かれるとバッファオーバーフローが起きる恐れがあるという。

今回のアップデートは、PHP で見つかっていた複数の脆弱性の修正にも対応している。それら脆弱性とは、リモート DoS 攻撃や任意コード実行を許しかねなかったことだ。

ブラウザ Safari に関する脆弱性を発見したのは、セキュリティ調査会社の Secunia だった。この脆弱性を修正するアップデートが必要なのは、「ポップアップ ウィンドウ阻止」機能を無効にするユーザーのみだ。このアップデートをしないと、悪意を持った Web サイトが、信頼に足る Web サイト上に現れるポップアップ ウィンドウの内容を改竄 (かいざん) したのに気づかず、騙されたりする恐れがある。

Apple は、Eメールソフトウェア Mail について、コードを修正し、Eメール メッセージから発信元のマシンを第三者が特定できないようにした。これまで Mail ソフトウェアは、Ethernet ネットワークハードウェアと連携した識別子を含む ID『GUUID』( (Globally Unique Universal ID) を、メッセージ形式「RFC-822」が求める Message-ID ヘッダーの構築に使っていたため、悪意を持った者が Message-ID からハードウェア情報を取得する恐れがあった。今回のアップデートでは、Mail 内のハードウェア情報を隠すようにした。

サードパーティ製 Eメールソフトウェア SquirrelMail には、ユーザーの Web ブラウザで表示するコンテンツを Eメール メッセージに含めるのを許しかねない、クロスサイト スクリプティング関連の脆弱性があった。Apple は今回のアップデートでこの問題にも対応した。

Security Update は、Mac OS X の「ソフトウェア アップデート」メニュー経由、あるいは『Apple Downloads』サイトを介してダウンロードできる。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。