Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

“Tiger”と“Panther”にセキュリティパッチ、OpenSSLの脆弱性など修正


 アップルコンピュータは29日、Mac OS X 10.4“Tiger”用およびMac OS X 10.3“Panther”用の「Security Update 2005-009」を公開した。それぞれクライアント版とサーバー版があり、Mac OS Xのソフトウェア・アップデート機能または同社のダウンロードサイトから入手できる。多くのセキュリティ強化が含まれるとしており、すべてのユーザーに適用を推奨している。

 Tiger用のアップデートはMac OS X 10.4.3以降に対応。クライアント版では「apache_mod_ssl」「CoreFoundation」「CoreTypes」「curl」「iodbcadmin」「OpenSSL」「Safari」「sudo」「syslog」のアップデートが含まれる。サーバー版ではこれらに加えて「Apache2」「passwordserver」「ServerMigration」のアップデートが含まれる。

 Panther用はMac OS X 10.3.9以降に対応。クライアント版では「apache_mod_ssl」「iodbcadmin」「OpenSSL」「QuickDraw」「Safari」「sudo」のアップデートが、サーバー版ではこれらに加えて「Apache2」「passwordserver」「ServerMigration」のアップデートが含まれる。

 このうちSafariについては、4種類の脆弱性が修正される。まず、同ブラウザに採用しているJavaScriptエンジンにおいてヒープオーバーフローが引き起こされ、任意のコードを実行される恐れがあるというもの。今回のアップデートでは、JavaScriptエンジンの新しいバージョンを提供することで修正する。

 次に、あらかじめ指定されたダウンロードディレクトリ以外の場所にダウンロードしたファイルが保存されるという脆弱性。非常に長いファイル名の場合に起きる。ダウンロードサイト側からファイル名や保存先を直接指定することはできないが、他のユーザーから見られる場所にダウンロードファイルが保存される恐れはある。

 このほかSafariにおいては、JavaScriptダイアログボックスの表示元サイト名が明示されない脆弱性や、WebKitのヒープオーバーフローが原因で、悪意あるサイトを閲覧した場合に任意のコードを実行される恐れのある脆弱性を修正している。

 OpenSSLの脆弱性は、OpenSSLを使うアプリケーションにおいて、暗号化強度がSSLv3やTLSに比べて弱いバージョンであるSSLv2が強制的に使われてしまうというものだ。具体的には、SSLv2を無効化できないアプリケーションや互換性のオプションが設定できるアプリケーションなどで、SSLコネクションが“ダウングレード”させされる可能性がある。今回のグレードではOpenSSLのバージョン0.9.7iを組み込むことで修正している。

関連情報

URL
  Security Update 2005-009の概要(英文)
  http://docs.info.apple.com/article.html?artnum=302847
  Security Update 2005-009(Tiger Client)
  http://www.apple.com/jp/ftp-info/reference/securityupdate2005009tigerclient.html
  Security Update 2005-009(Tiger Server)
  http://www.apple.com/jp/ftp-info/reference/securityupdate2005009tigerserver.html
  Security Update 2005-009(Panther Client)(英文)
  http://www.apple.com/support/downloads/securityupdate2005009pantherclient.html
  Security Update 2005-009(Panther Server)(英文)
  http://www.apple.com/support/downloads/securityupdate2005009pantherserver.html

関連記事
Mac OS X用のセキュリティ修正「Security Update 2005-008」公開(2005/09/26)
IE7のHTTPS接続、SSL 2.0からSSL 3.0/TLS 1.0へ~IEBlogで明らかに(2005/10/28)


( 永沢 茂 )
2005/11/30 18:59

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.