『Mac OS X』にも多数の脆弱性

Apple Computer は15日、セキュリティアップデートを公開し、オペレーティングシステム『Mac OS X』に脆弱性が多数あったことを明らかにした。

今回のセキュリティアップデートでは、40件余りの脆弱性に対処している。内容は、ローカル権限昇格を許しかねないものから、クラッカーに任意コード実行を許しシステム乗っ取りにつながりかねない危険度の高いものまで様々だ。

脆弱性が影響するコンポーネントには、Web ブラウザ『Safari』と Eメールソフトウェア『Mail』など Apple 独特のソフトウェア、およびオープンソースデータベース『MySQL』、それに『AppKit』『Bluetooth』『OpenSSL』『zlib』『Apache』などが含まれている。

Apple の『Security Update 2005-007』によれば、セキュリティ更新の対象システムは、Mac OS X のバージョン 10.3.9 および 10.4.2 それぞれのクライアント版とサーバー版だ。

脆弱性に関する情報を一部取り上げてみると、危険度の高い脆弱性の中で遠隔的に任意のコード実行とシステムの乗っ取りを許しかねないのは、AppKit に存在する。

AppKit は、Mac OS X 用のグラフィカルなアプリケーション作成を可能にするライブラリだ。セキュリティデータベースの情報『CAN-2005-2501』によると、AppKit が「悪意で作られたリッチテキスト ファイル」によってバッファオーバーフローを起こし、任意のコード実行を許しかねないという。またセキュリティデータベースの情報『CAN-2005-2502』は、AppKit 内の関連脆弱性を攻撃者が突いて、『Microsoft Word』の拡張子「.doc」付きファイルがオーバーフロー状態を起こし、任意のコードを実行しかねないと説明している。

Apple が独自に開発した Web ブラウザ Safari も脆弱性を持つ。セキュリティ更新内容の詳細情報によると、リッチテキストファイルの処理に問題があり、悪意のあるファイルをクリックすると、ログインユーザーと同じ権限で攻撃者に任意のコード実行を許しかねないという。