PR
<  米Apple Computerは米国時間3月1日,Mac OS Xのセキュリティ・ホール(脆弱性)を解消するためのパッチ「Security Update 2006-001」を公開した。今回のパッチで修正されるコンポーネント(アプリケーション)は13種類。悪質プログラムを勝手に実行されるSafariの脆弱性を修正するほか,Mac OS X“初”のウイルスとされる「Leap.A」に対応するためにiChatのセキュリティを強化する。

 今回公開されたパッチの適用対象は,Mac OS X 10.3.9(ClientおよびServer)と10.4.5(Intel版およびPPC版)。パッチを適用すれば,以下のコンポーネントに含まれる脆弱性が修正される(あるいは,セキュリティが強化される)。

  • apache_mod_php
  • automount
  • Bom
  • Directory Services
  • iChat
  • IPSec
  • LaunchServices
  • LibSystem
  • loginwindow
  • Mail
  • rsync
  • Safari
  • Syndication

 これらのうち重要だと考えられるのが,SafariブラウザおよびLaunchServicesに関する脆弱性である。悪用されると,Webページにアクセスするだけで任意のプログラム(シェル・スクリプト)を勝手に実行される恐れがある。実行前に,警告ダイアログなどは表示されない。

 実際,実行が可能であることを示す実証コード(ファイル)がネット上で公開されている。今回のパッチを適用すれば,実行前にユーザーに警告を出す(Mac OS X 10.4.5の場合)あるいは勝手に実行しないようになる(Mac OS X 10.3.9の場合)。

 なお今回のパッチでは,上記以外に3種類のSafariの脆弱性が修正される。

 また,悪用が容易と考えられるメール・ソフトMailの脆弱性も,今回のパッチで解消(緩和)される。通常,実行可能な添付ファイルをユーザーがダブルクリックした場合には,ファイルの実行前に警告が表示される。しかし,ファイルにある細工を施すと,警告を出すことなく実行させることが可能となる。つまり,セキュリティ機能を回避できる。今回のパッチを適用すれば,セキュリティ機能が強化され,警告なしに添付ファイルが実行される危険性を解消できるという。

 今回のパッチを適用すれば,“Leap.A対策”も施せるとしている。Leap.Aとは,インスタント・メッセージング・ソフトiChatを経由して感染を広げるウイルス(悪質なプログラム)(関連記事)。Mac OS Xに感染する初めてのウイルスと言われている。Leap.Aのようなプログラムを転送しようとすると,iChatが警告を表示するようになる。

 パッチは,Mac OS Xが備える「ソフトウェアアップデート機能」で適用できる。同社のダウンロード・サイトからも入手できる。現時点(3月2日午前11時)で用意されているダウンロード・ページは英語版のみだが,パッチは日本語版Mac OS Xにも適用できる。

 上述の脆弱性以外にも,今回のパッチでは複数の危険な脆弱性が修正されるので,同社では,すべてのユーザーに対して適用することを勧めている。

◎参考資料
About Security Update 2006-001
Security Update 2006-001(10.3.9 Server)
Security Update 2006-001(10.3.9 Client)
Security Update 2006-001 Mac OS X 10.4.5 Client (Intel)
Security Update 2006-001 Mac OS X 10.4.5 (PPC)
Apple security updates