MicrosoftがPowerPointに存在するセキュリティホールを埋める一連のパッチを公開した日と同じ日に,Appleもそれにならい,67件の脆弱性を修正する,Mac OS X等に対する巨大なアップデートを公開した。
今回公開されたものには,ウェブブラウザのSafariに存在する3件のセキュリティホールを対象としたパッチも含まれている(Mac OS X用およびWindows用)。
OS Xに対するアップデートは,Appleが利用しているオープンソースパッケージに存在する既知の(そしてかなり前から分かっている)問題を含む,31のコンポーネントのセキュリティホールを対象としている。これには,Apache,BIND,CUPS,OpenSSL,PHP,Kerberosの脆弱性が含まれている。
また,今回のアップデートでは,ATS,CFNetwork,CoreGraphics,Cscope,Disk Images,Spotlightに存在する,Appleが「任意のコードを実行される」脆弱性と説明する脆弱性についても修正している。
影響のあるソフトウェア,コンポーネント,およびリスクの説明に関する完全なリストは,Appleのサポートサイトに掲載されている。
また,それとは別に,Appleは以下の問題に対処するSafari 3とSafari 4(ベータ版)の新しいバージョンも公開している。
- libxml(CVE-2008-3529)libxmlの長いエンティティ名の処理に,ヒープバッファオーバーフローが存在する。悪意を持って作成されたウェブサイトを閲覧すると,予期しないアプリケーションの終了や任意のコードの実行につながる可能性がある。今回のアップデートでは,境界チェックの処理を改善することによって問題を修正している。この問題は,Mac OS XとWindows XPおよびVistaの両方に影響がある。
- Safari(CVE-2009-0162)Safariの"feed:" URLの処理に,複数の入力検証の問題が存在する。悪意を持って作成された"feed:" URLにアクセスすると,任意のJavaScriptの実行につながる可能性がある。今回のアップデートでは,"feed:" URLに検証処理を追加することで問題を修正している。これらの問題は,Mac OS X v10.5以前のシステムには影響しない。Windows XPおよびVistaには影響がある。
- WebKit(CVE-2009-0945)WebKitのSVGListオブジェクトの処理に,メモリ破壊の問題が存在する。悪意を持って作成されたウェブサイトを閲覧すると,任意のコードの実行につながる可能性がある。今回のアップデートでは,境界チェックの処理を改善することによって問題を修正している。この問題を報告したのは"Nils"氏であり,同氏は,2009年に開催されたCanSecWestコンテストで,このセキュリティホールを利用したと示唆している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
