OS XとSafariにiOSと共通する3件の脆弱性、Appleがセキュリティアップデート提供

　Appleは9月1日、「OS X El Capitan」と「OS X Yosemite」向けのセキュリティアップデートと、ウェブブラウザー「Safari」の新バージョン「9.1.3」を公開した。8月25日に「iOS 9.3.5」で修正された3件の脆弱性を修正するもの。

　「OS X 10.10.5」（Yosemite）を対象とする「セキュリティアップデート2016-001」と、「OS X 10.11.6」（El Capitan）が対象の「セキュリティアップデート2016-005」は、カーネルに存在する2件の脆弱性を修正するもの。

　2件の脆弱性は、「CVE-2016-4655」は、入力の検証における不具合により、アプリがカーネル領域のメモリ内容を取得できる場合があるもの。「CVE-2016-4656」は、メモリ破損によりアプリがカーネルの権限で任意のコードを実行できる可能性があるもの。

　Safari 9.1.3は、YosemiteとEl Capitanに加え、「OS X Mavericks」（10.9.5）向けに公開されている。修正された脆弱性「CVE-2016-4657」はWebKitに存在するもので、メモリ破損により、悪意を持って作成されたウェブサイトにアクセスすると、任意のコードが実行される可能性があるもの。

　OS XとiOS、Safariのデスクトップ版とモバイル版では、多くのソースコードが共通化されていることから、OS XでもiOSと同様の脆弱性が発見されたと見られる。

　これらの脆弱性は、カナダ・トロント大学の研究機関であるCitizen Labと米Lookout SecurityがAppleに報告したもので、アラブ首長国連邦（UAE）の人権活動家であるAhmed Mansoor氏を狙った攻撃により判明したもの。脆弱性を悪用すれば、保存されたあらゆるアプリの情報やパスワードをリモートから収集できるほか、カメラやマイクによる映像や音声の収集も可能になる。