米Apple Computerは米国時間5月16日, Mac OS X 10.4/Mac OS X Server 10.4に複数の脆弱性が見つかったことを公表するとともに,修正アップデートを公開した。アップデートを適用すると,バージョンは10.4.1になる。「ソフトウェアアップデート」機能などから適用できる。
今回脆弱性が見つかったのは,(1)Bluetooth,(2)Dashboard,(3)Kernel,(4)SecurityAgent――以上のコンポーネントである。
(1)に見つかったのは,ファイル交換サービスに関する脆弱性である。この脆弱性を突かれると,ファイル交換用のディレクトリ以外にアクセスされる可能性がある。つまり,本来はアクセスを許していないファイルなどを取得される恐れがある。
(2)の脆弱性を突くようなWebサイトへ「Safari」でアクセスすると,警告が表示されずに,悪質なプログラム(Widget)を実行させられる可能性がある。(3)を突くと,ローカル・ユーザー(そのMac OS Xマシンにログインできるユーザー)が,本来は検索できないパスに置かれたファイルを調べたり,そのマシンをサービス不能(DoS)状態にしたりできる。(4)の脆弱性を悪用されると,パスワード・ロックがかかったスクリーンセーバーが動作するバックグラウンドで,任意のプログラムを実行される可能性がある。このとき,攻撃者はそのマシンに物理的にアクセスする必要がある。
対策は,同社が公開したアップデート(Mac OS X 10.4.1 Update)を適用すること。同社の「ソフトウェアアップデート」ページからダウンロードできる。Mac OS Xが備えるソフトウェアアップデート機能でも適用できる。適用対象は,Mac OS X 10.4およびMac OS X Server 10.4。
なお,今回のアップデートには,セキュリティ以外の改良も含まれている。このため同社では,「すべての対象システムでアップデートをお勧めします」としている。
◎参考資料
◆About the security content of the Mac OS X 10.4.1 Update
◆Mac OS X 10.4.1 について
◆ソフトウェアアップデート
◆Mac OS X Update 10.4.1
◆Mac OS X Server 10.4.1
(勝村 幸博=IT Pro)
