アップルコンピュータは3月14日,Mac OS Xに複数のセキュリティ・ホールが見つかったことを明らかにした。セキュリティ・ホールを悪用されると,Webにアクセスしただけ,あるいはメールの添付ファイルを開こうとしただけで,悪質なプログラムを実行させられる可能性がある。対策は,同日公開された修正パッチ(Security Update)を適用すること。

 今回セキュリティ・ホールが見つかったのは,以下のコンポーネント(アプリケーション)。パッチの適用対象は,Mac OS X 10.3.9(ClientおよびServer)と10.4.5(Intel版およびPPC版)。

(1)CoreTypes(CVE-2006-0400
(2)Mail(CVE-2006-0396
(3)Safari, LaunchServices, CoreTypes(CVE-2006-0397CVE-2006-0398CVE-2006-0399

 (1)はセキュリティ機構を回避されるセキュリティ・ホール。細工が施されたJavaScriptコードを含むドキュメントをWebサイトから読み込むと,Mac OS Xのセキュリティ機構を回避されて,ローカル・ファイルなどにアクセスされる可能性がある。

 (2)は,メールソフト「Mail」の添付ファイル処理に関するセキュリティ・ホール。細工が施された添付ファイルをダブル・クリックすると,Mailでバッファ・オーバーフローが発生して,ファイルに仕込まれた任意のプログラムを実行させられる。

 (3)は,ファイル・タイプをきちんと検証できないセキュリティ・ホール。悪質なWebサイトに「Safari」ブラウザでアクセスしただけで,任意のプログラム(スクリプト)を勝手に実行される恐れがある。

 同様のセキュリティ・ホールは,3月2日に公開された「Security Update 2006-001」で修正されている(関連記事)。今回公開されたパッチで修正されるのは,その“変形版(variations)”。“変形版”を悪用されると,Security Update 2006-001を適用していても,任意のスクリプトを実行される恐れがあった。今回のパッチを適用すればファイルの検証がより厳しくなり,“変形版”を防げるようになる。

 パッチは,Mac OS Xの「ソフトウェアアップデート機能」で適用できる。同社のダウンロード・サイトからも入手可能。現時点(3月14日午前11時)で用意されている同パッチのダウンロード・ページは英語版のみだが,修正パッチは日本語版Mac OS Xにも適用できる。システム(Mac OS X 10.4.5 PPC/10.4.5 Client Intel/10.3.9 Client/10.3.9 Server)によって適用するパッチは異なる。

【3月14日追記】日本語のダウンロード・ページでも「Security Update 2006-002」の情報が公開された。【以上,3月14日追記】

 修正されるセキュリティ・ホールの中には危険なものが複数含まれるため,同社では,すべてのユーザーに対して,パッチを適用するよう勧めている。

 なお今回のパッチには,セキュリティ関連以外の修正もいくつか含まれている。

◎参考資料
Security Update 2006-002 について
About Security Update 2006-002
Apple Downloads
ソフトウェアアップデート