『Mac OS X』、2005年初のセキュリティアップデート

Apple Computer (NASDAQ:AAPL) は25日、2005年に入って初めて、オペレーティングシステム『Mac OS X』のセキュリティアップデートを公開した。

このセキュリティアップデート『Security Update 2005-001 for Mac OS X』は、同 OS に含まれている、UNIX 由来の「at」コマンド群、ライブラリ (libxml2)、カラー表示技術『ColorSync』、ブラウザ『Safari』、Eメールソフトウェア『Mail』に関するセキュリティ問題に対応するとともに、Web アプリケーション開発言語『PHP』およびサードパーティ製 Eメールソフトウェア『SquirrelMail』に固有の問題にも対応した。Apple がアップデートを呼びかけている対象は、サーバー版あるいはクライアント版の『Mac OS X 10.3.7』『Mac OS X 10.2.8』だ。

at コマンド群のアップデートでは、Apple が「ローカル権限昇格脆弱性」と呼ぶ問題を修正する。この脆弱性を放置すると、ローカルユーザーが、自分のものでないファイルを削除したり、権限を上げてプログラムを実行したり、通常なら読むことのできないファイルの内容を読んだりしかねない、という。今回のアップデートで対処したコマンドは、「at」「atrm」「batch」「atq」「atrun」の5つだ。

もう1つの重要なアップデートは、libxml2 ライブラリに入っていた危険なコードの問題を修正したことだ。Apple によると、同ライブラリには、リンクしたアプリケーション内でそのコードが悪用されかねない脆弱性があり、その弱点を突かれるとバッファオーバーフローが起きる恐れがあるという。

今回のアップデートは、PHP で見つかっていた複数の脆弱性の修正にも対応している。それら脆弱性とは、リモート DoS 攻撃や任意コード実行を許しかねなかったことだ。

ブラウザ Safari に関する脆弱性を発見したのは、セキュリティ調査会社の Secunia だった。この脆弱性を修正するアップデートが必要なのは、「ポップアップ ウィンドウ阻止」機能を無効にするユーザーのみだ。このアップデートをしないと、悪意を持った Web サイトが、信頼に足る Web サイト上に現れるポップアップ ウィンドウの内容を改竄 (かいざん) したのに気づかず、騙されたりする恐れがある。

Apple は、Eメールソフトウェア Mail について、コードを修正し、Eメール メッセージから発信元のマシンを第三者が特定できないようにした。これまで Mail ソフトウェアは、Ethernet ネットワークハードウェアと連携した識別子を含む ID『GUUID』( (Globally Unique Universal ID) を、メッセージ形式「RFC-822」が求める Message-ID ヘッダーの構築に使っていたため、悪意を持った者が Message-ID からハードウェア情報を取得する恐れがあった。今回のアップデートでは、Mail 内のハードウェア情報を隠すようにした。

サードパーティ製 Eメールソフトウェア SquirrelMail には、ユーザーの Web ブラウザで表示するコンテンツを Eメール メッセージに含めるのを許しかねない、クロスサイト スクリプティング関連の脆弱性があった。Apple は今回のアップデートでこの問題にも対応した。

Security Update は、Mac OS X の「ソフトウェア アップデート」メニュー経由、あるいは『Apple Downloads』サイトを介してダウンロードできる。