|
|
| Webテクノロジー | 2006年3月15日 13:10 |
|
Apple、3月に入って2度目のセキュリティ更新 著者: Sean Michael Kerner オリジナル版を読む ▼2006年3月15日 13:10 付の記事 ■海外internet.com発の記事 ことセキュリティに関していえば、Apple Computer にとって3月はあまり喜ばしくない月となりそうだ。『Mac OS X』のユーザーは2週間足らずの間に、2度のセキュリティ更新適用を行なわなければならなくなった。さらに、まだ未対応の問題が残っていると指摘するセキュリティ会社もある。 Apple は13日、今月2回目のセキュリティ更新『Security Update 2006-002』を公開した。新たな脆弱性に対応したほか、前回のセキュリティ更新『Security Update 2006-001』で盛り込んだ更新内容の修正も行なっている。 その1つが、Web ブラウザ『Safari』に関連する脆弱性で、当初ゼロデイ攻撃に繋がるとして問題になったものだ。これは、Safari でダウンロードしたファイルを自動的に開く設定にしている場合、ZIP ファイルなど安全なファイルに見せかけた細工ファイルを開くことで、シェルスクリプトを実行してしまうという問題だった。Apple は Security Update 2006-001 で検証メカニズムを導入し、これに対応していた。 今回の Security Update 2006-002 では、この検証メカニズムに存在する脆弱性に対応した。Apple によれば、「Security Update 2006-001 で対処した悪質なファイルタイプの変種を識別するため、検証を追加した。その結果、これら変種のファイルを、自動的に開かないようになった」という。 このダウンロードファイル検証メカニズムについては、脆弱性以外にセキュリティ問題ではない不具合も修正した。 Security Update 2006-001 適用後のシステムでは、『Microsoft Word』ファイルや、カスタムアイコンを設定したフォルダなど、安全なファイルタイプでも検証メカニズムが安全ではないと判断する場合があった。Apple は Security Update 2006-002 で、これを修正している。 ほかにも、Security Update 2006-001 適用に伴うセキュリティ問題以外の不具合修正としては、「rsync」コマンドで「delete」オプションが機能しなくなった点や、「apache_mod_php」に関連して一部アプリケーションが動作しなくなった点を修正した。 また、前回のセキュリティ更新と関係しない新たな脆弱性にも対応した。まず1つめが、メールクライアント『Mail』に関するもので、細工した添付ファイルを開くと、バッファオーバーフローが発生するという内容だ。 もう1つ新たに対応したのは、遠隔 Web サイトから JavaScript の入った文書を読み込んだ際、攻撃者が細工を施すことで、JavaScript に対するデータアクセス制限を回避できるという問題だ。通常、遠隔サイトから読み込んだ文書内の JavaScript には、取得先同一性に基づくポリシーにより、データアクセスに制限がかかる。 セキュリティ会社 Secunia は、今回のセキュリティ更新に合わせて勧告を公開した。同社は、Apple が Security Update 2006-002 で対応した脆弱性全体の危険度を、5段階中最大としている。 ただ Apple は今回のセキュリティ更新で、現在存在が公になっている主な問題すべてに対応したわけではないようだ。eEye Digital Security は先日、『iTunes』と『QuickTime』に未対応の脆弱性が2件存在すると発表したが、同社セキュリティ製品マネージャ Steve Manzuik 氏は取材に対し、「われわれが知るかぎり、このセキュリティ更新では、当社の示した問題に対応していない」と語った。 |
| トップページ | 画面トップ |
|
||
|
||
|
