スラッシュレーン
· 1分で読めます
アップル社は木曜日、Mac OS X 10.3「Panther」およびMac OS X 10.4「Tiger」オペレーティングシステムのクライアント版とサーバー版に、Macユーザーをさまざまな悪質な攻撃にさらす可能性のある20以上のセキュリティ上の脆弱性があることを明らかにした。
Mac OS X 10.4.9 を実行しているシステム用のソフトウェア アップデートのバージョン (セキュリティ アップデート 2007-004) では、AFP クライアント、AirPort、CarbonCore、diskdev_cmds、fetchmail、ftpd、gnutar、ヘルプ ビューア、HID ファミリ、インストーラ、Kerberos、Libinfo、ログイン ウィンドウ、network_cmds、SMB、システム構成、URLMount、ビデオ会議、および WebDAV に影響する脆弱性が解消されます。
このパッチは、Intel 版 Mac OS X 10.4.9 クライアント バージョンを実行している Mac の場合は 16.1 MB のダウンロードとして、PowerPC 版 OS を実行しているマシンの場合は 9.3 MB のダウンロードとして入手可能です。
Mac OS X 10.3.9の場合
Appleは、前世代のMac OS X 10.3「Panther」ソフトウェアの最新ポイントリリースを実行しているシステム向けにもセキュリティアップデートを提供しています。このリリースでは、AFPクライアント、AirPort、diskdev_cmds、fetchmail、ftpd、ヘルプビューア、Kerberos、Libinfo、ログインウィンドウ、network_cmds、SMB、システム構成、URLMount、ビデオ会議、WebDAV、WebFoundationにおける脆弱性が解消されています。
10.3.9 のユーザーは、ソフトウェアのクライアント バージョン用の 37.6 MB のアップデータ、またはサーバー バージョン用の 54.1 MB のアップデータをダウンロードできます。
犯人
Macメーカーの最新セキュリティアップデートで修正された脆弱性は、大部分がサービス拒否攻撃、アプリケーションの予期せぬ終了、あるいは任意のコード実行につながる可能性があります。しかし、Appleは、AFPクライアント、AirPort、CarbonCore、Kerberos、WebDav、そしてMac OS Xログインウィンドウを通じて悪意のあるユーザーがシステム権限を昇格させられる可能性のある、より深刻な問題をいくつか指摘しました。
クパティーノに拠点を置く同社は、ログインウィンドウの他の2つの重大な欠陥にも対処しました。1つ目は、環境変数のチェックが不十分なため、ローカルユーザーがシステム権限を取得し、任意のコードを実行できる可能性がありました。もう1つは、ユーザーが「コンピュータをスリープ解除する際にパスワードを要求する」設定をしているにもかかわらず、パスワードを入力せずにスクリーンセーバーの認証ダイアログをバイパスできる場合があるという問題です。
