米Appleは米国時間10月31日,Mac OS Xに見つかった複数のセキュリティ・ホールを公表し,それらを修正するアップデート「Mac OS X Update 10.4.3」などを公開した。セキュリティ・ホールを悪用されると,ローカル・ユーザーにセキュリティ設定を回避されたり,重要な情報を盗まれたりする可能性がある。リモートから任意のプログラムを実行されるような危険なセキュリティ・ホールは含まれていない。アップデートは同社サイトや「ソフトウェアアップデート機能」から入手できる。
今回公開されたセキュリティ・ホールは,以下の5種類のコンポーネント(プログラム)に存在する。カーネルには3種類のセキュリティ・ホールが見つかっているので,合計7種類になる。
(1)Finder(CVE-2005-2749)
(2)Software Update(CVE-2005-2750)
(3)memberd(CVE-2005-2751)
(4)Keychain(CVE-2005-2739)
(5)Kernel(CVE-2005-1126,CVE-2005-1406,CVE-2005-2752)
(1)のセキュリティ・ホールはFinderの「Get Info」ウインドウに関するもの。特定の状況下では,誤った情報を表示する場合がある。(2)は,アップデートを適用できない場合があるセキュリティ・ホール。(3)のセキュリティ・ホールを突かれると,権限がないユーザーにファイルなどにアクセスされる可能性がある。
(4)はKeychain Accessユーティリティに関するセキュリティ・ホール。登録されているパスワードを開示してしまう恐れがある。(5)はカーネルに関するセキュリティ・ホール。カーネルのメモリー情報をローカル・ユーザーに取得される可能性がある。
今回公開されたアップデート「Mac OS X Update 10.4.3」や「Mac OS X Server 10.4.3」を適用すれば,Mac OS Xのバージョンを10.4.3にアップグレードするとともに,上記のセキュリティ・ホールを解消できる。これらのアップデートは「ソフトウェアアップデート機能」から適用できる。
同社のダウンロード・サイトからも入手可能。Mac OS X 10.4.2には「Mac OS X 10.4.3 Update (Delta)」,Mac OS X 10.4~10.4.2には「Mac OS X Update 10.4.3 Combo」を適用する。Mac OS X Server 10.4.2には「Mac OS X Server 10.4.3」,Mac OS X Server 10.4~10.4.2には「Mac OS X Server 10.4.3 Combo」を適用する。
なお今回リリースされたアップデートには,セキュリティ・ホールの修正だけではなく,複数の機能拡張/改善も含まれている。
◎参考資料
◆Apple Downloads
◆Mac OS X Update 10.4.3
◆Mac OS X Server 10.4.3
◆Mac OS X Server 10.4.3 Combo
◆Mac OS X Update 10.4.3 Combo
◆Apple security updates