Mac OS Xのほとんどのバージョンにroot権限を奪取される可能性のある脆弱性

■URL
http://www.atstake.com/research/advisories/2003/a041003-1.txt
http://www.apple.co.jp/ftp-info/reference/macosx_10.2.5_update.html
(10.2.4からのダウンロードページ)
http://www.apple.co.jp/ftp-info/reference/macosx_10.2.5_update_com.html
(10.2.x全部からのダウンロードページ)

対策済みの「バージョン10.2.5」

　米国のセキュリティ関連会社@stakeは10日、MacOS XのDirectoryServiceにローカルユーザーがroot権限を取得できるセキュリティホールがあると警告した。対象となるバージョンは、MacOS Xの10.2.4以前のすべてのバージョンとなる。

　この脆弱性は、MacOS Xの認証システムなどの一部である「DirectoryService」が原因となり、ローカルユーザーがroot権限を取得できる可能性があるというもの。この脆弱性を利用して、攻撃者がDirectoryServiceに対して任意のプログラムを実行できるため、DirectoryServiceを破壊される可能性もあるという。

　対策は、最新版である「MacOS X 10.2.5」にバージョンアップすることによって対応できる。入手方法は、MacOS Xのソフトウェアアップデート機能やアップルのWebサイト上からのダウンロードなどが用意されている。10.2.5では、脆弱性の修正以外にも、AirMacやBluetooth、グラフィックの機能強化なども行なわれた。@stakeでは、この脆弱性が深刻なため、早急にアップデートすることを推奨している。

　なお、アップルコンピュータ株式会社は、バージョン10.2.5が収録されたCD-ROM「Mac OS X v10.2.5 Update CD」の発売を4月25日より開始すると発表した。アップルのオンラインストアや販売店で購入できる。価格は2,500円。

(2003/4/11)

[Reported by otsu-j@impress.co.jp]