MicrosoftがPowerPointに存在するセキュリティホールを埋める一連のパッチを公開した日と同じ日に、Appleもそれにならい、67件の脆弱性を修正する、Mac OS X等に対する巨大なアップデートを公開した。
今回公開されたものには、ウェブブラウザのSafariに存在する3件のセキュリティホールを対象としたパッチも含まれている(Mac OS X用およびWindows用)。
OS Xに対するアップデートは、Appleが利用しているオープンソースパッケージに存在する既知の(そしてかなり前から分かっている)問題を含む、31のコンポーネントのセキュリティホールを対象としている。これには、Apache、BIND、CUPS、OpenSSL、PHP、Kerberosの脆弱性が含まれている。
また、今回のアップデートでは、ATS、CFNetwork、CoreGraphics、Cscope、Disk Images、Spotlightに存在する、Appleが「任意のコードを実行される」脆弱性と説明する脆弱性についても修正している。
影響のあるソフトウェア、コンポーネント、およびリスクの説明に関する完全なリストは、Appleのサポートサイトに掲載されている。
また、それとは別に、Appleは以下の問題に対処するSafari 3とSafari 4(ベータ版)の新しいバージョンも公開している。
- libxml(CVE-2008-3529)libxmlの長いエンティティ名の処理に、ヒープバッファオーバーフローが存在する。悪意を持って作成されたウェブサイトを閲覧すると、予期しないアプリケーションの終了や任意のコードの実行につながる可能性がある。今回のアップデートでは、境界チェックの処理を改善することによって問題を修正している。この問題は、Mac OS XとWindows XPおよびVistaの両方に影響がある。
- Safari(CVE-2009-0162)Safariの"feed:" URLの処理に、複数の入力検証の問題が存在する。悪意を持って作成された"feed:" URLにアクセスすると、任意のJavaScriptの実行につながる可能性がある。今回のアップデートでは、"feed:" URLに検証処理を追加することで問題を修正している。これらの問題は、Mac OS X v10.5以前のシステムには影響しない。Windows XPおよびVistaには影響がある。
- WebKit(CVE-2009-0945)WebKitのSVGListオブジェクトの処理に、メモリ破壊の問題が存在する。悪意を持って作成されたウェブサイトを閲覧すると、任意のコードの実行につながる可能性がある。今回のアップデートでは、境界チェックの処理を改善することによって問題を修正している。この問題を報告したのは"Nils"氏であり、同氏は、2009年に開催されたCanSecWestコンテストで、このセキュリティホールを利用したと示唆している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
