Appleが大量のパッチを公開:LeopardやSafariも対象

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎 2007年12月19日 17時30分

  • このエントリーをはてなブックマークに追加

 Appleは米国時間12月17日、Mac OS XとMac OS X Serverの複数の脆弱性に対応する41のパッチを提供した。これには、Leopard用のものもいくつか含まれている。

 今回のセキュリティアップデート11月のパッチ集に匹敵するもので、次のようないくつかの共通の特徴を持っている。

  • 影響があるのはLeopardとTiger
  • 大多数のパッチは、ハッカーがシステムの乗っ取りを可能にする問題に対応するもの
  • Mac OS XのiChat、Core Foundation、Quick Look、Desktop Servicesなどに多くのコード実行セキュリティホールが存在
  • Appleはセキュリティ面では忙しい状況が続いている。12月第2週には、AppleはJava runtimeのアップデートQuickTimeに対する多くのパッチを配信した。

 とにかく、ユーザーは更新を行うことを勧める。Appleの最新パッチのリストは次の通りだ。

CVE-2007-4708: Address BookのURLハンドラーの問題を解決する。Appleによれば、「ユーザーを悪意を持って作られたウェブサイトに誘導することで、遠隔の攻撃者が予期しないアプリケーションの終了や任意のコードを実行を行うことができる。このアップデートはフォーマット文字列の処理を改善することでこの問題を解決する」という。影響のあるバージョンには、Mac OS X v10.4.11とMac OS X Server v10.4.11が含まれる。Mac OS X 10.5以降を使っているユーザーには影響はない。

CVE-2007-4709: この修正はLeopardとも呼ばれるMac OS X v10.5.1とMac OS X Server v10.5.1を対象とするものだ。Appleはこの問題を「CFNetworkがダウンロードファイルの処理に存在するパス乗り換え問題」だとしている。一言で言えば、悪意のあるウェブサイトを訪問すると自動的に任意のフォルダにファイルをダウンロードされてしまうということであり、これはコンピュータが乗っ取られたということを上品な表現で言ったものだ。

CVE-2007-4710: この修正はMac OS X v10.4.11とMac OS X Server v10.4.11を対象とするもので、Leopardは対象としていない。Appleは、具体的にはColorSyncが対象だとしている。この問題は、「悪意を持って作られたColorSyncプロファイルを埋め込んだ画像を閲覧すると、予期しないアプリケーションの終了や任意のコード実行の可能性がある」というものだ。Leopardには影響はない。

CVE-2007-5847: この修正もMac OS X v10.4.11とMac OS X Server v10.4.11を対象とするものだ。(傾向が見えてきただろうか?)問題の箇所はCore Foundationで、機密情報を漏えいさせる可能性がある。Leopardには影響はない。

CVE-2007-5848: これはプリンタドライバのCUPSの脆弱性を対象としたものだ。Appleは「ローカルの管理者ユーザーがシステム特権を得ることができる可能性がある」と述べている。

CVE-2007-4351: これは別のCUPSの問題を対象としたもので、これについてはLeopardにも影響がある。具体的には、影響のあるシステムにはMac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1が含まれる。この修正は、Internet Printing Protoclのタグ処理でメモリ破壊が起こり、アプリケーションのクラッシュや任意のコード実行に繋がる可能性があるという問題に対するものだ。

CVE-2007-5849: これはもう1つのCUPSの問題で、LeopardとLeopard Serverを対象としたものだ。Appleは「SNMPが使用可能になっていると、遠隔の攻撃者が予期しないアプリケーションの終了やコード実行を引き起こす可能性がある。説明:CUPSのバックエンドのSNMPプログラムがネットワークプリンタサーバーを発見するためのSNMP要求をブロードキャストする」としている。

CVE-2007-5850: この修正はMac OS X v10.4.11、Mac OS X Server v10.4.11のDesktop Servicesを対象としたものだ。Leopardは対象としてない。要点:Finderにバッファオーバーフロー問題があり、任意のコードが実行される可能性がある。Leopardには影響はない。

CVE-2007-5476: Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1のFlash Playerプラグインに影響のあるもの。Adobeによって複数の脆弱性が指摘されている。

CVE-2007-4131: この修正はGNU Tarの「悪意を持って作られたtarアーカイブ」の問題を解決するものだ。Mac OS X v10.4.11、Mac OS X Server v10.4.11を対象とするもので、Leopardには問題はない。

CVE-2007-5851: この修正が対象とする問題はiChatだ。ローカルネットワークの人物が許可なしにビデオ接続を開始することができる。Leopardには影響がなく、Mac OS X v10.4.11とMac OS X Server v10.4.11を対象としている。

CVE-2007-5853: これは「悪意を持って作られたディスクイメージを開くことで、予期しないシステムのシャットダウンや任意のコード実行が引き起こされる可能性がある」というIOストレージの問題だ。Leopardには問題はないが、Mac OS X v10.4.11、Mac OS X Server v10.4.11は対象となる。

CVE-2007-5854: これはMac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1のLaunch Serviceを対象とする修正だ。問題は次の通り。「悪意を持って作られたHTMLファイルを開くことで、情報漏えいやクロスサイトスクリプティングに繋がる可能性がある。」

CVE-2007-6165: 別のLaunch Serviceの問題で、こちらは「実行可能なメール添付ファイルを開くと、警告なしに任意のコードが実行される場合がある」というもの。LeopardとLeopard Serverに影響がある。

CVE-2007-5855: Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1上でのメールに影響がある。問題は次の通り。「アカウント設定アシスタントを使って設定されたSMTPアカウントが、MD5のチャレンジ-応答型認証が利用可能な場合でも平文の認証を使う場合がある。」

CVE-2007-5116およびCVE-2007-4965: それぞれperlとpythonの問題を対象としたもの。Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1に影響がある。

CVE-2007-5856およびCVE-2007-5857: どちらもLeopardのQuick Lookの脆弱性を対象としたもの。動画をプレビューする際に秘密情報が漏えいする可能性がある。URLアクセスの問題もある。

CVE-2007-5770およびCVE-2007-5379、CVE-2007-5380、CVE-2007-6077: RubyのライブラリとRails 1.2.3の脆弱性に関するもの。最初の項目はMac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1に影響がある。残りのCVEはLeopardにのみ影響がある。

CVE-2007-5858: Safariの情報漏えいセキュリティホールの修正。Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1に影響がある。また、Windows XPとVistaのSafari 3 Betaにも影響がある。

CVE-2007-5859: Mac OS X v10.4.11、Mac OS X Server v10.4.11上のSafariのRSSに問題がある。悪意を持って作られたフィードによって、アプリケーションの終了や任意のコード実行が引き起こされる可能性がある。Leopardには影響はない。

CVE-2007-4572、CVE-2007-5398: Sambaの脆弱性を対象としている。Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1に影響がある。

CVE-2006-0024: Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1のShockwaveの問題を対象としている。

CVE-2007-3876: Appleによれば、「mount_smbfsおよびsmbutilアプリケーションのコマンドラインの引数を解釈するコードにスタックバッファオーバーフローの問題があり、ローカルユーザーが任意のコードを実行することができる」という。Mac OS X v10.4.11、Mac OS X Server v10.4.11に影響がある。

CVE-2007-5863: Software Updateにさえ、いくつかの問題がある。Leopardに「中間者攻撃によって、Software Updateがシステム権限で任意のコマンドを実行することができる」という影響がある。

CVE-2007-5860: LeopardにSpin Tracerのセキュリティホールがある。「ローカルユーザーがシステム権限で任意のコードを実行できる。」

CVE-2007-5861: Spotlightのセキュリティホールを対象としている。Mac OS X v10.4.11、Mac OS X Server v10.4.11に影響がある。

CVE-2007-1218、CVE-2007-3798: tcpdumpの脆弱性を対象とする。Mac OS X v10.4.11、Mac OS X Server v10.4.11に影響がある。

CVE-2007-1659、CVE-2007-1660、CVE-2007-1661、CVE-2007-1662、CVE-2007-4766、CVE-2007-4767、CVE-2007-4768: XQueryに存在する複数の脆弱性を対象とする。Mac OS X v10.4.11、Mac OS X Server v10.4.11に影響がある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部 が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化