2004年05月26日(水) 09時30分

完全ではなかったMac OS Xのセキュリティパッチ（CNET Japan）

　Apple Computerは先週、Mac OS Xに見つかった欠陥を修正するパッチをリリースしたが、これに関してセキュリティ専門家らは25日（米国時間）、この問題の根本的な部分が修正されておらず、同OSユーザーはまだこの欠陥の脅威にさらされていることを明らかにした。

　このセキュリティホールは、ユーザーが騙されて、悪質なプログラムが仕込まれた偽のウェブページにアクセスすると、攻撃者がMacにプログラムをダウンロードして実行できてしまうというもの。

　「私の考えでは、これはOS Xで初めての重大な脆弱性だ」と、セキュリティ研究者でドメイン登録会社Network Solutionsの元セキュリティ責任者のRichard Fornoは言う。「パッチをダウンロードしてみたところ、修正されている部分とされていない部分があり、まだやらねばならないことが残っているようだ」（Forno）

　他にも2つのソフトウェアメーカーが、未修正の問題が残っていることを確認している。セキュリティ情報会社のSecuniaは、この脆弱性がAppleが当初考えていたよりも広範囲に及んでいると判断し、危険度評価を「極めて重大」に引き上げた。また、独立系ソフトウェアメーカーのUnsanityは今週、この問題を回避するツールと、その詳細を記した報告書をリリースした。

　Appleはコメントを拒否している。同社は脆弱性のニュースがインターネットに流れた後、21日にオリジナルのパッチをリリースしていた。

　この脆弱性には、実際には2つの欠陥が含まれている。1つはユーザーが、Mac OS Xのセキュリティを迂回するよう仕込まれたURLをクリックすると、ウェブサイトからMacのハードディスクにファイルが保存されてしまうというもの。もう1つは、ファイルの在処が分かっていれば、攻撃者が別のユーザーのコンピュータからそのファイルを実行できるという欠陥だ。この2つの欠陥が一緒に悪用されると、インスタントメッセージ（IM）やメールを使って広まるウイルスが作成される大きなセキュリティホールとなる。

　おそらく最大の問題は、簡単な解決策が存在しそうにないことだと、UnsanityのプログラマJason Harrisは同社の報告書に記している。

　「この機能を持つアプリケーションには、悪質なものだけでなく便利なものも多い。つまり、Appleは便利な機能をMac OS Xや既存のアプリケーションから削除しないかぎり、この問題を簡単には修正できない、ということだ」（Harris）　

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
アップル、Mac OS Xのセキュリティアップデートを公開 - 2004/05/22 09:23
Mac OS Xに脆弱性--危険度は「極めて重大」 - 2004/05/19 14:14
アップル、セキュリティ勧告の「不適切」な分類に再三の批判 - 2004/05/06 13:38


　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20040526-00000002-cnet-sci