アップル、Mac OS X Panther（10.3.9）用20件の脆弱性修正パッチ公開

今回のパッチは「Panther」と呼ばれる前バージョンのみに適用される。先ごろ鳴り物入りで発売になったばかりのMac OS X 10.4「Tiger」ではすでにこれらの欠陥は修正されているという。

　セキュリティベンダーのSecuniaは4日、OS Xに見つかったこれらの欠陥について「極めて深刻」とするコメントを発表し、なかでもTIFFファイルの処理に関するAppKitの脆弱性を最も懸念される欠陥の1つだと述べた。

　「もし悪質な改ざんが施されたTIFFを表示すると、任意のコードが実行されてしまう場合がある。通常、TIFFは安全な表示形式だと考えられているが、そのことがさらに深刻度を高めている」（SecuniaのCTO、Thomas Kristensen）

　さらに、AppleScriptの欠陥も懸念の的になっている。この欠陥が悪用されると、あるウェブサイトにアクセスしたユーザーのマシンに、そのサイトからAppleScriptを送り、ユーザーが予想したものとは異なるコードを実行することが可能になってしまうと、Kristensenは述べている。

　一方、Apacheウェブサーバに関係する欠陥は、htdigestプログラムでバッファオーバーフローを引き起こす可能性がある。もしこれがCGIアプリケーションで悪用されると、離れた場所にあるシステムからの攻撃が可能になるという。

　ただし、Secuniaはこの欠陥についてはあまり重視していない。

　「Apacheのバグも重要だが、これを悪用するのは相当困難で、普通では考えられない設定になっている必要がある」（Kristensen）

　同OSのBluetoothワイヤレス機能にも脆弱性が2件見つかった。1つは、ユーザーに適切な通知が行われずにファイルが共有されてしまう可能性があるというもので、もう1つは、Bluetoothファイルやオブジェクト交換サービスを経由すると、デフォルトのファイル交換ディレクトリの外にあるファイルに悪質な攻撃者がアクセスできるようになってしまうというものだ。

　この勧告によると、さらにもう1つ、本来与えられるべきでないユーザーにアクセス権を与えるようディレクトリサービスが改ざんされてしまう欠陥もあるという。

　Appleが発表したOS Xのパッチには、Finder、Foundation、ヘルプビューワ、LDAP、libXpm、lukemftpd、NetInfo、サーバ設定、sudo、ターミナル、およびVPNの修正も含まれている。

□ Mac OS X 10.4(Tiger)