今回公開されたパッチの適用対象は,Mac OS X 10.3.9(ClientおよびServer)と10.4.5(Intel版およびPPC版)。パッチを適用すれば,以下のコンポーネントに含まれる脆弱性が修正される(あるいは,セキュリティが強化される)。
- apache_mod_php
- automount
- Bom
- Directory Services
- iChat
- IPSec
- LaunchServices
- LibSystem
- loginwindow
- rsync
- Safari
- Syndication
これらのうち重要だと考えられるのが,SafariブラウザおよびLaunchServicesに関する脆弱性である。悪用されると,Webページにアクセスするだけで任意のプログラム(シェル・スクリプト)を勝手に実行される恐れがある。実行前に,警告ダイアログなどは表示されない。
実際,実行が可能であることを示す実証コード(ファイル)がネット上で公開されている。今回のパッチを適用すれば,実行前にユーザーに警告を出す(Mac OS X 10.4.5の場合)あるいは勝手に実行しないようになる(Mac OS X 10.3.9の場合)。
なお今回のパッチでは,上記以外に3種類のSafariの脆弱性が修正される。
また,悪用が容易と考えられるメール・ソフトMailの脆弱性も,今回のパッチで解消(緩和)される。通常,実行可能な添付ファイルをユーザーがダブルクリックした場合には,ファイルの実行前に警告が表示される。しかし,ファイルにある細工を施すと,警告を出すことなく実行させることが可能となる。つまり,セキュリティ機能を回避できる。今回のパッチを適用すれば,セキュリティ機能が強化され,警告なしに添付ファイルが実行される危険性を解消できるという。
今回のパッチを適用すれば,“Leap.A対策”も施せるとしている。Leap.Aとは,インスタント・メッセージング・ソフトiChatを経由して感染を広げるウイルス(悪質なプログラム)(関連記事)。Mac OS Xに感染する初めてのウイルスと言われている。Leap.Aのようなプログラムを転送しようとすると,iChatが警告を表示するようになる。
パッチは,Mac OS Xが備える「ソフトウェアアップデート機能」で適用できる。同社のダウンロード・サイトからも入手できる。現時点(3月2日午前11時)で用意されているダウンロード・ページは英語版のみだが,パッチは日本語版Mac OS Xにも適用できる。
上述の脆弱性以外にも,今回のパッチでは複数の危険な脆弱性が修正されるので,同社では,すべてのユーザーに対して適用することを勧めている。
◎参考資料
◆About Security Update 2006-001
◆Security Update 2006-001(10.3.9 Server)
◆Security Update 2006-001(10.3.9 Client)
◆Security Update 2006-001 Mac OS X 10.4.5 Client (Intel)
◆Security Update 2006-001 Mac OS X 10.4.5 (PPC)
◆Apple security updates