ケイティ・マーサル
· 1分で読めます
アップルコンピュータは火曜日、ハッカーや悪意あるユーザーにとってバックドアとなる可能性のある、Mac OS Xオペレーティングシステムのいくつかの脆弱性を取り締まった。
特に、今回のアップデートでは、Bluetoothセットアップアシスタントの機能強化として、自動生成されるペアリングパスキーの長さを6文字から8文字に増やしました。また、アプリケーションのクラッシュや任意コード実行につながる可能性のある、悪意のあるGIF、TIFF、Radiance、またはCanon RAW画像に対する追加チェックも追加されています。
同様に、Appleは、悪意を持って作成されたZipアーカイブ、BOOTPリクエスト、TELNETサーバ、HTMLドキュメントに対する予防措置を強化しました。また、存在しないアカウントでOpenSSHサーバにログインしようとする攻撃者が認証プロセスをハングアップさせる脆弱性も修正しました。「攻撃者はこの動作を悪用して特定のアカウントの存在を検出することができます」とAppleは述べています。「このような試行が多数行われると、サービス拒否攻撃につながる可能性があります。」
Safariのもう一つの改良点は、悪意のあるJavaScriptファイルを含む可能性のあるファイルと安全なファイルを識別する機能に重点を置いています。以前のバージョンのブラウザでは、HTMLを含む特定のファイルを誤って「安全」と認識していた可能性があります。そのようなファイルがSafariにダウンロードされ、Safariの「ダウンロード後に「安全な」ファイルを開く」オプションが有効になっている場合、HTML文書は自動的にローカルURIから開かれていました。「これにより、文書に埋め込まれたJavaScriptコードが、通常はリモートコンテンツに課されるアクセス制限を回避できるようになります」とAppleは説明しています。「今回のアップデートでは、悪意のある可能性のあるファイルタイプを識別するための追加チェックが提供され、自動的に開かれないようにします。」
セキュリティ アップデート 2006-004 のその他のセキュリティ強化は、ファイル共有のアクセス ループホールと、悪意のあるローカル ユーザーがダイナミック ライブラリのロードに影響を与えて昇格権限を取得できる Mac OS X ダイナミック ローダーの脆弱性を対象としています。
セキュリティ強化の完全なリストは、Apple のサポート サイトから入手できます。
