米Apple Computerは米国時間11月29日,Mac OS Xに13種類のセキュリティ・ホールが見つかったことを明らかにした。リモートから悪質なプログラムを実行されるような危険なセキュリティ・ホールを含む。対策は,同日公開されたSecurity Updateを適用すること。同社では,すべてのMacユーザーにSecurity Updateを適用することを勧めている。
今回明らかにされたセキュリティ・ホールは,以下10種類のコンポーネント(アプリケーション)に存在する。Webブラウザ「Safari」には4種類のセキュリティ・ホールが見つかっているので,計13種類のセキュリティ・ホールが明らかにされたことになる。
- Apache2(CVE-2005-2088)
- apache_mod_ssl(CVE-2005-2700)
- CoreFoundation(CVE-2005-2757)
- curl(CVE-2005-3185)
- iodbcadmintool(CVE-2005-3700)
- OpenSSL(CVE-2005-2969)
- passwordserver(CVE-2005-3701)
- Safari(CVE-2005-2491,CVE-2005-3702,CVE-2005-3703,CVE-2005-3705)
- sudo(CVE-2005-1993)
- syslog(CVE-2005-3704)
今回明らかにされたセキュリティ・ホールの影響度はさまざま。悪用されると,リモートあるいはローカル・ユーザーに,セキュリティ機構の回避や権限の昇格,任意のプログラムの実行などを許す可能性がある。CoreFoundationやcurl,Safariに見つかったセキュリティ・ホールは,任意のプログラムを実行させられる危険なものである。
これらのセキュリティ・ホールは,同社が公開するSecurity Updateを適用すれば解消できる。適用対象はMac OS X 10.4.3,Mac OS X Server 10.4.3,Mac OS X 10.3.9,Mac OS X Server 10.3.9。Security Updateは同社のダウンロード・サイトから入手可能。Mac OS Xが備える「ソフトウェアアップデート機能」からも適用できる。
なお,今回のSecurity Updateを適用すれば,SafariやCoreTypes,QuickDraw Managerなどの機能強化も図れるという。
◎参考資料
◆About Security Update 2005-009
◆Apple Downloads
◆Security Update 2005-009(Panther Server)
◆Security Update 2005-009(Panther Client)
◆Security Update 2005-009(Tiger Server)
◆Security Update 2005-009(Tiger Client)