米Apple Computerは現地時間8月1日,Mac OS Xに複数のセキュリティ・ホール(脆弱性)が見つかったことを明らかにするとともに,それらを修正するセキュリティ・アップデート(Security Update 2006-004)をリリースした。修正されるセキュリティ・ホールの中には,細工が施された画像ファイルを読み込むだけで悪質なプログラムを実行されるような危険なものが含まれる。
今回のアップデートで修正されるセキュリティ・ホールは,以下のアプリケーションや機能に存在する。
- AFP Server(CVE-2006-1472,CVE-2006-1473,CVE-2006-3495,CVE-2006-3496)
- Bluetooth
- Bom(CVE-2006-3497)
- DHCP(CVE-2006-3498)
- dyld(CVE-2006-3499,CVE-2006-3500)
- fetchmail(CVE-2005-2335,CVE-2005-3088,CVE-2005-4348,CVE-2006-0321)
- gunzip(CVE-2005-0988,CVE-2005-1228)
- Image RAW(CVE-2006-0392)
- ImageIO(CVE-2006-3501,CVE-2006-3502,CVE-2006-3503)
- LaunchServices(CVE-2006-3504)
- OpenSSH(CVE-2006-0393)
- telnet(CVE-2005-0488)
- WebKit(CVE-2006-3505)
- AppKit,ImageIO(CVE-2006-3459,CVE-2006-3461,CVE-2006-3462,CVE-2006-3465)
これらのうち,DHCP,fetchmail,Image RAW,ImageIOに見つかったセキュリティ・ホールは特に危険で,細工が施されたファイルを読み込む,あるいは細工が施されたデータを送られるだけで,マシン上で任意のプログラムを実行される恐れがある。セキュリティ組織の米SANS Instituteによれば,fetchmailのセキュリティ・ホールを突くプログラム(exploit)が既に確認されているという。
セキュリティ・アップデート(Security Update 2006-004)は「Apple Download」からダウンロードできるほか,Mac OS Xの「ソフトウェアアップデート機能」から適用できる。同アップデートの適用対象はMac OS X 10.3.9および10.4.7。