· 2分で読めます
セキュリティ調査会社CoreLabs Researchが最近、Appleのデスクトップオペレーティングシステムに潜在的な脆弱性があることを明らかにしたとArsTechnicaが金曜日に報じた。
サンドボックスは、オペレーティングシステムがアプリケーションが利用できるシステムリソースを制限する手段を提供します。セキュリティ企業によると、この機能の脆弱性はMac OS Xの最新3リリース(Leopard、Snow Leopard、Lion)に及んでいます。
「いくつかのデフォルトの事前定義されたサンドボックスプロファイルは、利用可能なメカニズムをすべて適切に制限していないため、制限された機能の一部を実行できる」と脆弱性の説明には記されている。
特に、承認されたネットワークアクセスを持たないアプリケーションは、Appleイベントを送信して「サンドボックスによって直接制限されていない他のアプリケーションの実行を呼び出す」可能性があります。同社はまた、この問題は2008年のBlack Hat Japanセキュリティカンファレンスで著名なセキュリティ専門家チャーリー・ミラー氏が報告した問題に類似していると指摘しました。Appleは明らかにこの問題を修正しましたが、「汎用プロファイルの修正」を怠ったようです。
Appleは当初、Mac App Storeに提出されたすべてのアプリに対し、今月までにサンドボックス化に対応することを義務付けていたが、同社は最近その期限を来年の3月に延期した。
TUAWによると、Apple は開発者への電子メールで「2012 年 3 月 1 日以降、Mac App Store に提出されるすべてのアプリはサンドボックスを実装する必要があります」と述べたという。
カリフォルニア州クパティーノに本社を置く同社は、Mac App Storeのセキュリティ維持を目的としてこのポリシーを導入しているが、多くの開発者からこのルールは厳しすぎるとの不満の声が上がっている。最近明らかになった脆弱性は、サンドボックス自体に脆弱性があるため、サンドボックス要件自体に欠陥があると主張する開発者もおり、彼らの主張に拍車をかけている。
Appleがこの脆弱性に関するニュースをどのように扱ったかについても、一部の人々が疑問を呈しています。Core社は、問題を公表する前にAppleが十分な対応時間を確保できるよう、9月にこの問題をAppleに通知しました。同社によると、Appleは「NoNetworkサンドボックスプロファイルのドキュメントではAppleイベントがブロックされることが保証されていないため、セキュリティへの影響は実際には見られない」と回答しました。
Core社は、この脆弱性により、Appleイベントが最終的にソケットベースのネットワーク通信を実行できるようになると回答しました。これはNoNetworkサンドボックスプロファイルによってブロックされるはずです。Appleはこれを受け、この問題を記載するためにドキュメントを修正することに同意しました。
Mac App StoreはMacにソフトウェアを追加する選択肢の一つに過ぎませんが、Appleの制限を批判する一部の人々は、同社がiOSモデルに移行するのではないかと懸念を表明しています。現在、iOS版App Storeは、モバイルOS上でアプリケーションを入手できる唯一の正規のソースです。
Appleは自社ソフトウェアをMac App Storeに移行し、7月にはMac OS X Lionを同ストア限定でリリースしました。また、6月にはFinal Cut Pro XもMac App Store限定でリリースしました。
