セキュリティ企業、最新版「Mac OS X」のJava脆弱性で警告--実証コードを公開

文:Jim Dalrymple(CNET News) 翻訳校正:緒方亮、長谷睦

2009-05-21 10:47

 Macintosh向けのセキュリティコンサルティングを手がける企業SecureMac.comは米国時間5月19日、Appleの「Mac OS X」のJavaにパッチ未対応のセキュリティ脆弱性があるとして、「重大」レベルの警告を発した

 この脆弱性を発見したというLandon Fuller氏によると、問題とされているJavaの脆弱性は、12日にリリースされたばかりのMac OS X最新版「Mac OS X 10.5.7」でも解決されていないという。そこでFuller氏は、このセキュリティホールのコンセプト実証コード公開に踏み切った。

 この脆弱性は、SecureMacが「自動ダウンロード」と呼ぶ行為の実行に使われる恐れがある。これはウェブページを訪問するだけで、コンピュータを感染させてしまうものだ。Fuller氏はこの脆弱性により、悪意あるコードがその時点のユーザー権限で命令を実行可能になると説明している。

 Fuller氏が自身のサイトに掲載した内容からは、Mac OS Xの最新版でもいまだにこの脆弱性が未対策であることに、同氏が憤慨し困惑している様子がはっきりと見てとれる。

 Fuller氏は同サイトで「残念ながら、Mac OS Xのセキュリティ問題の多くは、その深刻性が十二分に証明されない限り無視されるということのようだ」と述べている。「この問題点が誰でも悪用可能な状態で放置されており、さらには脆弱性が周知の事実になり6カ月たつことから、私は自作のコンセプト実証コードを発表し、実例によって問題点を示すことを決断した」

 Appleの広報担当者Monica Sarkar氏は「その問題は承知しており、修正に取り組んでいるところだ」と述べたが、修正にかかる具体的期間を示すことはなく、それ以上のコメントは拒否した。

 Fuller氏のコンセプト実証コードは、「完全にパッチ対策済みの」IntelおよびPowerPC Macで実行される。

 この脆弱性の現時点での回避策としては、ユーザーが利用するブラウザでJavaアプレットの利用を無効にし、さらにSafariの環境設定にある「ダウンロード後、安全なファイルを開く」のチェックを外すことしかないとFuller氏は述べている。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]