「Month of Kernel Bugs」キャンペーンの一環として最近発表された,いまだパッチが公開されていない「Mac OS X」の脆弱性に関して,セキュリティ研究者が攻撃コードを公にした。

 研究者は米国時間11月20日,このコンセプト実証コードは,Apple ComputerのOSがディスクイメージ(DMG)ファイルを処理する方法に存在する脆弱性を悪用すると,キャンペーンのブログに記した。同キャンペーンは,ローレベルのソフトウェアで見つかった新たな脆弱性の詳細を,11月中毎日公開していくというもの。

 「LMH」というイニシャルを使うこの研究者は,「Mac OS Xのcom.apple.AppleDiskImageControllerが,破損したDMGのイメージ構造を適切に処理できないため,悪用可能なメモリ破損エラーが生じ,特権を持たないユーザーによってカーネルモードで任意のコードを実行されるおそれがある」と書いている。

 この脆弱性は,Appleの「Safari」ウェブブラウザが,あるURLを閲覧中に外部ソースからDMGファイルを読み込む際に,リモートで悪用される恐れがあるとLMHと名乗る人物は説明した。これにより,部外者がシステムを操ることも可能になる。

 Secuniaは米国時間11月21日,同脆弱性を「きわめて深刻(highly critical)」と認定する勧告をウェブサイトに掲載した。コンピュータに影響を与えるばかりでなく,悪質なローカルユーザーがシステム権限を昇格させるためにこれを悪用する場合もあると,Secuniaは述べている。

 Appleの関係者は,この件に対するコメントを拒否した。

 LMHと名乗る人物は前述のブログに,「『Preferences』を変更し,ダウンロード後に『安全な』ファイルを開く機能を無効化する」ことで,攻撃を回避できると記している。

 Mac OS上で発見される脆弱性は増加しており,AppleのOSは安全だという定説に疑問を呈する向きも現れ始めている。これまでに報告されているセキュリティ脆弱性の大半はMicrosoft Windowsを稼働するマシンに影響を与えるものだった。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連記事