Apple、『Mac OS X 10.5.2』のセキュリティ更新を公開

Apple は、早くも2度目のアップデートを行なった『Mac OS X 10.5』(別名『Leopard』) に対するセキュリティ更新、『Security Update 2008-001』を公開した。これには、1つ前の版『Mac OS X 10.4』(別名『Tiger』) への修正も含まれている。

全体としては、かなり重要な修正となっており、米国土安全保障省のコンピュータ セキュリティ対策機関 US-CERT からも、12日に独自のセキュリティ勧告『Technical Cyber Security Alert』が出されているほどだ。

US-CERT の勧告には次のようにある。「問題の影響はさまざまだ。起こりうる重大な結果は、任意コード実行、重要情報漏洩、サービス不能化を含む」

Tiger に関する修正の1つは、『Service Location Protocol』(SLP) がスタック オーバーフローを引き起こすおそれがあった問題への対応だ。Apple はセキュリティ情報のなかで、同問題が最初に報告されたのは、1年余り前の2007年1月に行なわれたバグ報告プロジェクト『Month of Apple Bugs』だと認めている。

同問題は、長らく未対応だったが、実質的な影響はかなり限定的だ。Apple によると、同問題を悪用することにより、ローカルユーザーがシステム権限を使って任意のコードを実行するおそれがあるという。

Tiger では、Eメールクライアント『Mail』の問題も修正された。

Apple は、セキュリティ情報のなかで次のように述べている。「file:// で始まる URL の処理に関し、Mail に実装上の問題が存在し、ユーザーがメッセージ中の URL をクリックしたとき、警告無しに任意のアプリケーションが実行されるおそれがあった」

同問題に対する Apple の解決策は、クリックしたとき、ファイルを開かず、ファイルの場所を示すだけにするという単純なものだ。

Leopard に関しては、Web ブラウザ『Safari』に影響する重大なメモリ破壊の問題が修正された。攻撃者が特別に作成した URL をユーザーが訪問しようとすると、任意コード実行やシステムクラッシュを招くおそれがある。

Apple は、URL の追加の認証を実行することで同問題に対応した。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール