米Apple Computerは米国時間3月21日,Mac OS Xに見つかった複数のセキュリティ・ホールをふさぐセキュリティ・アップデート(パッチ)を公開した。セキュリティ・アップデートの適用対象は,Mac OS X v10.3.8/Mac OS X Server v10.3.8。Mac OS Xのソフトウェア・アップデート機能で適用できる。「ソフトウェアアップデート」のページからも入手可能。

 今回公開されたセキュリティ・アップデート「Security Update 2005-003」は,Mac OS Xに含まれる10種類のコンポーネント――(1)AFP Server,(2)Bluetooth Setup Assistant,(3)Core Foundation,(4)Cyrus IMAP,(5)Cyrus SASL,(6)Folder permissions,(7)Mailman,(8)Safari,(9)Samba,(10)SquirrelMail――に見つかったセキュリティ・ホールを修正する。なお,(4)(7)(10)については,Mac OS X Serverだけが影響を受ける。

 例えばSafariについては,今回のセキュリティ・アップデートを適用すると,「IDN(国際化ドメイン名)によるURL偽装問題」を解消できる(関連記事)。「IDNによるURL偽装問題」とは,「ほかの言語の“似た”文字を使うことで,全く異なるドメイン(URL)を,有名企業のドメインに見せかけることができる問題」である(関連記事)。IDNに対応したブラウザ――Internet Explorer以外の主要ブラウザのほとんど――が影響を受ける。

 FirefoxやOperaは,それぞれ新版で「IDNによるURL偽装問題」に対応したが,Safariの対応方法はこれらとは異なる。セキュリティ・アップデートを適用したSafariでは,IDNとして使える文字種類(アドレス・バーにIDNとしてそのまま表示する文字種類)を記したリスト(IDNScriptWhiteList.txt)を用意する。そして,このリストにはない文字種類がURLに含まれる場合には,URLをPunycodeで表示する。

 デフォルトのリストには,キリル文字やギリシャ文字,チェロキー文字などは含まれていない。このため,「a」をキリル文字の「а」にした「www.аpple.com」は,Punicodeの「www.xn--pple-43d.com」と表示される。ただし,このリスト・ファイル(IDNScriptWhiteList.txt)は編集可能なので,リストにはない文字種類(例えばキリル文字)を表示させるように設定変更できる。

 このほか,(3)Core Foundationのセキュリティ・ホールについては,発見者である米iDEFENSEがアドバイザリを公開している。それによると,Mac OS Xにデフォルトで含まれる Core Foundation Libraryにはバッファ・オーバーフローのセキュリティ・ホールがあるという。このため,ローカル・ユーザーに管理者権限を奪われる可能性がある。

 Appleでは,すべてのMacintoshユーザー/対象システムにセキュリティ・アップデートの適用を推奨している。Mac OS X/Mac OS X Serverマシンのユーザー/管理者は,できるだけ早急に適用したい。

◎参考資料
About Security Update 2005-003(米Apple Computer)
About Safari International Domain Name support
ソフトウェアアップデート
Security Update 2005-003 (Client) 1.0 について
Security Update 2005-003 (Server) 1.0 について
Mac OS X CF_CHARSET_PATH Buffer Overflow Vulnerability(米iDEFENSE)

(勝村 幸博=IT Pro)