Internet Watch logo
記事検索
最新ニュース

“Tiger”と“Panther”にセキュリティパッチ、OpenSSLの脆弱性など修正


 アップルコンピュータは29日、Mac OS X 10.4“Tiger”用およびMac OS X 10.3“Panther”用の「Security Update 2005-009」を公開した。それぞれクライアント版とサーバー版があり、Mac OS Xのソフトウェア・アップデート機能または同社のダウンロードサイトから入手できる。多くのセキュリティ強化が含まれるとしており、すべてのユーザーに適用を推奨している。

 Tiger用のアップデートはMac OS X 10.4.3以降に対応。クライアント版では「apache_mod_ssl」「CoreFoundation」「CoreTypes」「curl」「iodbcadmin」「OpenSSL」「Safari」「sudo」「syslog」のアップデートが含まれる。サーバー版ではこれらに加えて「Apache2」「passwordserver」「ServerMigration」のアップデートが含まれる。

 Panther用はMac OS X 10.3.9以降に対応。クライアント版では「apache_mod_ssl」「iodbcadmin」「OpenSSL」「QuickDraw」「Safari」「sudo」のアップデートが、サーバー版ではこれらに加えて「Apache2」「passwordserver」「ServerMigration」のアップデートが含まれる。

 このうちSafariについては、4種類の脆弱性が修正される。まず、同ブラウザに採用しているJavaScriptエンジンにおいてヒープオーバーフローが引き起こされ、任意のコードを実行される恐れがあるというもの。今回のアップデートでは、JavaScriptエンジンの新しいバージョンを提供することで修正する。

 次に、あらかじめ指定されたダウンロードディレクトリ以外の場所にダウンロードしたファイルが保存されるという脆弱性。非常に長いファイル名の場合に起きる。ダウンロードサイト側からファイル名や保存先を直接指定することはできないが、他のユーザーから見られる場所にダウンロードファイルが保存される恐れはある。

 このほかSafariにおいては、JavaScriptダイアログボックスの表示元サイト名が明示されない脆弱性や、WebKitのヒープオーバーフローが原因で、悪意あるサイトを閲覧した場合に任意のコードを実行される恐れのある脆弱性を修正している。

 OpenSSLの脆弱性は、OpenSSLを使うアプリケーションにおいて、暗号化強度がSSLv3やTLSに比べて弱いバージョンであるSSLv2が強制的に使われてしまうというものだ。具体的には、SSLv2を無効化できないアプリケーションや互換性のオプションが設定できるアプリケーションなどで、SSLコネクションが“ダウングレード”させされる可能性がある。今回のグレードではOpenSSLのバージョン0.9.7iを組み込むことで修正している。


関連情報

URL
  Security Update 2005-009の概要(英文)
  http://docs.info.apple.com/article.html?artnum=302847
  Security Update 2005-009(Tiger Client)
  http://www.apple.com/jp/ftp-info/reference/securityupdate2005009tigerclient.html
  Security Update 2005-009(Tiger Server)
  http://www.apple.com/jp/ftp-info/reference/securityupdate2005009tigerserver.html
  Security Update 2005-009(Panther Client)(英文)
  http://www.apple.com/support/downloads/securityupdate2005009pantherclient.html
  Security Update 2005-009(Panther Server)(英文)
  http://www.apple.com/support/downloads/securityupdate2005009pantherserver.html

関連記事
Mac OS X用のセキュリティ修正「Security Update 2005-008」公開(2005/09/26)
IE7のHTTPS接続、SSL 2.0からSSL 3.0/TLS 1.0へ〜IEBlogで明らかに(2005/10/28)


( 永沢 茂 )
2005/11/30 18:59

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.