アップルコンピュータは11日、Mac OS X用のセキュリティ修正プログラム(パッチ)である「Security Update 2006-003」を公開した。対象となるのは、Mac OS X 10.3.9/10.4.6およびMac OS X Server 10.3.9/10.4.6。任意のコードを実行される恐れがある脆弱性への対応など多くのセキュリティ修正が含まれており、アップルではすべてのユーザーに適用を推奨している。同OSのソフトウェア・アップデート機能経由または同社ダウンロードサイトから入手できる。
Security Update 2006-003では、「AppKit」「BOM」「Flash Player」「Keychain」「Mail」「MySQL Manager」「Preview」「QuickDraw」「QuickTime Streaming Server」「Ruby」「Safari」などのコンポーネントについて、合計25項目の修正がリストアップされている。CVE番号による分類では、31件にも及ぶ。ただし、OSのバージョンによっては影響を受けないものがある。
Flash Playerについては、細工を施したファイルを読み込ませることで任意のコードを実行される恐れがある危険な脆弱性が、3月にAdobe Systemsから公表されており、修正バージョンもすでに提供されていた。今回のSecurity Update 2006-003でも、Flash Playerを「8.0.24.0」にのバージョンアップすることで対処している。
Mailについては、悪意のあるメールメッセージを閲覧することで、任意のコードを実行される恐れがある2件の脆弱性を修正。QuickDrawでも、細工を施したPICT画像を閲覧することで任意のコードを実行される恐れがある脆弱性を修正している。
Safariの脆弱性は、同ブラウザの「ダウンロード後、“安全な”ファイルを開く」オプションが有効になっている場合、シンボリックリンクを含む圧縮ファイルをダウンロードすると、自動解凍された際に、ターゲットのsymlinkがデスクトップに移動して起動してしまう可能性があるというもの。悪意あるサイトを閲覧することにより、ファイルを操作されたり、任意のコードを実行される恐れがあるという。Security Update 2006-003では、ダウンロードしたシンボリックリンクを解かないようにすることで対処した。なお、この脆弱性はMac OS X 10.4より前のバージョンには影響がない。
仏FrSIRTでは、Security Update 2006-003で修正した脆弱性の危険度について、4段階中で最も高い“Critical”にレーティングしている。
今回修正した脆弱性のうち一部は、すでに4月下旬、デンマークのSecuniaやFrSIRTなどでも存在を確認したとして、パッチが未提供であることから注意を呼びかけていた。
関連情報
■URL
Security Update 2006-003について
http://docs.info.apple.com/article.html?artnum=303737-ja
FrSIRTのセキュリティアドバイザリ(英文)
http://www.frsirt.com/english/advisories/2006/1779
■関連記事
・ Flash Playerに深刻な脆弱性、修正バージョンをリリース(2006/03/15)
・ Mac OS Xに5つの深刻な脆弱性、最新版“Tiger”にも影響あり(2006/04/24)
・ Mac OS Xのセキュリティパッチ、Safariなどの危険な脆弱性を修正(2006/03/14)
・ Mac OS Xを狙うマルウェアが増加、米McAfeeが報告書(2006/05/08)
( 永沢 茂 )
2006/05/12 16:02
- ページの先頭へ-
|