米Appleは米国時間2010年4月15日、同社のOS「Mac OS X」の最新セキュリティアップデート「2010-003」を公開した。描画エンジン「Apple Type Services(ATS)」で埋め込みフォントを処理する際にインデックスがチェックされない問題を解消する。
この脆弱性では、悪質なフォントを埋め込んだドキュメントを閲覧またはダウンロードすると、攻撃者により任意のコードが実行される可能性がある。影響を受けるのは、パソコンOS「Mac OS X v10.5.8」「Mac OS X v10.6.3」とサーバーOS「Mac OS X Server v10.5.8」「Mac OS X Server v10.6.3」。
この問題を報告したのは、米TippingPoint Technologiesの脆弱性検出懸賞プログラム「Zero Day Initiative」に参加しているCharlie Miller氏。米メディアの報道(eSecurity Planet)によると、同氏は3月にカナダで開催されたセキュリティ関連会議「2010 CanSecWest」のハッキングコンテスト「Pwn2own」で、同脆弱性の存在を実証した。コンテストの規定に従い、その時点で詳しい内容を公表せず、Appleに詳細な情報を渡した。
アップデート2010-003は、Appleのダウンロードサイトから入手可能。または、Mac OS Xの自動ソフトウエアアップデート機能「Apple Software Update」を通じて適用できる。
[発表資料へ]
