Apple、『Mac OS X』のセキュリティ更新をリリース

この記事のURLhttp://japan.internet.com/webtech/20071219/12.html

Apple は17日、セキュリティ更新『Security Update 2007-009』を公開した。今回の更新では、同社の OS 製品『Mac OS X v10.4.11』(Tiger) と『Mac OS X v10.5.1』(Leopard) が対象となっており、情報漏洩をはじめ、任意コード実行などのおそれがある合計31項目の問題 (識別番号別にみると41種の脆弱性) に対応した。Apple は1か月前に、Mac OS X v10.5.1 へのアップデートを行なったばかりだ。また同社は、『Windows XP』および『Windows Vista』用 Web ブラウザ『Safari』のバグ修正も行なっている。

Mac OS X のバグ修正のうち、『CUPS』(Common UNIX Printing System) に関係するものが3件ある。1件めはメモリ破壊に関するもので、システムクラッシュや、任意コード実行を許しかねない脆弱性に対応したものだ。同脆弱性は、Tiger と Leopard の双方に存在する。

CUPS に関する2件めの脆弱性は『SNMP』(Simple Network Management Protocol) の使用に関するもので、Tiger にのみ影響する。Apple の勧告によれば、「CUPS におけるバックエンドの SNMP プログラムは、プリンタサーバーを探す際 SNMP リクエストをブロードキャストする。SNMP レスポンスの処理中に整数アンダーフローによるスタック バッファ オーバーフローが発生するおそれがある」という。その結果、システムクラッシュや任意コード実行の危険性があった。

CUPS の3件めの脆弱性は、プリンタドライバ内部のバッファ オーバーフローだ。この脆弱性により Tiger において権限昇格が発生するおそれがあるという。

また、インスタント メッセージ アプリケーション『iChat』の脆弱性も修正した。こちらは Tiger 版のみだ。Apple の勧告によると、「ローカルネットワークに接続した人物が、ユーザーの許可なくビデオ会議を開始できる」という。この問題は、単純にビデオ会議の開始にあたってユーザーの許可を得るようにすることで解決した。

今回のアップデートでは、『Perl』『Python』『Ruby』といった動的言語のバグ修正も多数行なっている。

さらに Leopard においては、『Software Update』のメカニズム自体に存在した脆弱性にも対応した。Apple の勧告によれば、Software Update が更新情報を探すために Apple のリポジトリをチェックする際、これを横取りして攻撃を仕掛けることが可能だったという。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。