ダニエル・エラン・ディルガー
· 1分で読めます
「Mac OS X Lionのプレリリース版に招待していただくようお願いしましたのでお知らせします。招待状は近日中にお送りする予定です」と、AppleはDino Dai Zovi氏、Stefan Esser氏、Charlie Miller氏などの著名なセキュリティ研究者数名にメールを送った。
CNETの報道によると、手紙には「過去にMac OS Xのセキュリティ問題を報告されたことがあるので、この件についてご興味を持っていただけないかと思い、ご報告しました。セキュリティ対策の分野でいくつかの改善点が含まれています」と書かれていたという。
報道によると、アップルのソフトウェアの脆弱性を実証したミラー氏は、「私の知る限り、アップルはこれまでこのような形でセキュリティ研究者に連絡を取ったことはありません。また、他社のように費用を負担する必要もありません。アップルは侵入テストを行うために私たちを雇うわけではありませんが、少なくとも完全に孤立した状態ではなく、少なくともセキュリティについて考えるようになったのです」と述べた。
ミラー氏は、LionがASLR(アドレス空間配置ランダム化)を完全に採用すると予測しました。これは、重要なデータを予測不可能な場所に配置するセキュリティ技術であり、既知の脆弱性を狙うことを困難にします。Snow Leopardは現在、ASLRによる保護をライブラリに限定しているため、コード、スタック、ヒープの場所がクラッカーにとって攻撃の標的となりやすくなっています。
AppleのiOS 4.3にはASLRが追加されると報じられており、ユーザーランドの脆弱性を悪用したデバイスの脱獄がより困難になる。これは、今年の夏にリリースされるLionにも同様の保護機能が採用されることを示唆している。
CanSecWestなどのイベントで、これまでも同様にAppleのソフトウェアの脆弱性を悪用する脆弱性を実演してきたダイ・ゾビ氏は、「AppleからLionの開発者プレビューを見るよう招待された。リリースされるまでコメントはできないが、無料アクセスは素晴らしい」とツイートし、さらに「これは少しオープンになって、外部の研究者との対話を促す方向への一歩のようだ」と付け加えた。
Dai Zovi 氏はまた、「Lion は Mac OS X の『Vista』になるのでしょうか。誰も使いたがらないという意味ではなく、セキュリティを真剣に考え始めるという意味で」と考察しました。
