編集部からのお知らせ
「半導体動向」記事まとめ
「リスキリング」に関する記事まとめ

アップル、「Mac OS X」用セキュリティアップデートをリリース

文:Elinor Mills(CNET News) 翻訳校正:編集部

2009-11-10 12:45

 Appleは米国時間11月9日、「Mac OS X」の大規模なセキュリティアップデートをリリースした。多数の脆弱性が修正され、ドメインの正当性確認に使用されるプロトコルの脆弱性を利用する潜在的な攻撃に対する保護が提供されている。

 「Mac OS X v.10.6.2」と同じ日にリリースされた「Security Update 2009-006」では、43件の問題に対処している。

 「Mac OS X v10.5.8」「Mac OS X v10.6」「Mac OS X v10.6.1」および「Mac OS X Server v10.6」「Mac OS X Server v10.6.1」における多様な脆弱性が修正されている。その多くは、任意のコードの実行を可能とし、攻撃者にコンピュータの制御を与える恐れのあるものであった。

 「Apache」と「QuickTime」に影響を与えるアップデートが数件存在する。他には、「AFP Client」「Apple Type Services」「Core Graphics」「CoreMedia」「辞書」「ディスクイメージ」「Dovecot」「DirectoryService」「fetchmail」「FTPサーバ」「ヘルプビューア」「カーネル」「PHP」「QuickDraw Manager」「Spotlight」に関するものがある。

 SSHログインパスワードを推測するためのブルートフォース(総当たり)攻撃や辞書攻撃を可能とする「Adaptive Firewall」の脆弱性や、パスワードを入力することなくユーザーが任意のアカウントにログインすることを可能とする「ログインウインドウ」の脆弱性を修正するアップデートも存在する。

 いくつかのアップデートは、送信中のデータの暗号化に使用されるSSL(Secure Sockets Layer)を利用したドメインスプーフィング(なりすまし)、または中間者(man-in-the-middle)攻撃を可能とする脆弱性に対するものである。SSL接続を生成する「X.509」プロトコルの深刻な脆弱性などが修正されている。

 libsecurity機能に関連するアップデートもあり、「MD2ハッシュアルゴリズムに対する攻撃の強化に先立ち、ユーザーを保護するための予防的な変更」と記されている。MD2ハッシュアルゴリズムに対する攻撃は、なりすまし攻撃や情報漏えいといった被害をユーザーに与える恐れがある。

 セキュリティアップデートには、「MD2ハッシュアルゴリズムには、暗号に関する既知の脆弱性がある。高度な攻撃者は、暗号を詳細に調べることで、システムが信頼するような値を制御し、X.509証明書を作成することができる」と記されている。「これにより、X.509ベースのプロトコルが、なりすまし攻撃や中間者攻撃、情報漏えいにさらされる可能性がある。現時点で、このような脆弱性を悪用した攻撃はコンピュータ的に実行可能とされていないが、このアップデートでは、信頼できるルート証明書以外では、MD2ハッシュを用いるX.509証明書のサポートを無効にしている」(セキュリティアップデート)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。 原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]