2004年06月08日(火) 16時50分
アップル、『マックOS X』の深刻なセキュリティーホールをひそかに修正(WIRED)
米アップルコンピュータ社は7日(米国時間)、新型のWi-Fi(ワイファイ)ベースステーション
http://hotwired.goo.ne.jp/news/news/technology/story/20040608302.html 『AirPort Express』(エアポート・エクスプレス)を発表(日本語版記事)して大きな注目を集めたが、その陰でひそかに『マックOS X』の深刻なセキュリティーホールをいくつか修正していた。
7日朝にひっそりと公開された『
http://www.apple.co.jp/ftp-info/reference/securityupdate_2004-06-07_(_10_3_4)J.html Security Update(セキュリティー・アップデート) 2004-06-07』は、OS Xがブラウザーのヘルパー・アプリケーションを取り扱う方法に存在した、非常に深刻なセキュリティーホールに対処するもの。今回の脆弱性は5月下旬ごろから
http://hotwired.goo.ne.jp/news/news/technology/story/20040521301.html 公の場で議論されていた(日本語版記事)が、修正用アップデートによって、アップル社側が初めてこの問題を認めたことになる。
今回のアップデートは、特定のインターネット・リンクをユーザーがクリックした場合に、OS Xがアプリケーションを起動する方法を変えるものだ。これらのアプリケーションには、デスクトップ上にディスクイメージをマウントするものなどがある。
アップデート後、OS Xは自動的にディスクイメージをマウントせず、警告のダイアログボックスを表示して、操作を続行してよいかどうかをユーザーに確認するようになる。
この警告は、ディスクイメージがマウントされたり、
http://www.wired.com/news/images/0,2334,63756-12820,00.html アプリケーションが初めて起動されたりする場合(写真)にはつねに表示される。
アップル社によると、今回のセキュリティー・アップグレードには、『Diskimages』(ディスクイメージズ)、『LaunchServices』(ローンチサービシズ)、ブラウザーの『Safari』(サファリ)、『ターミナル』の修正が含まれているという。同社は、マックOS Xのすべてのユーザーに今回のアップデートを推奨している。
今回のセキュリティー強化は、ソフトウェア開発企業、米アンサニティー社がリリースしていた応急用の修正ソフト、『
http://www.unsanity.com/haxies/pa パラノイド・アンドロイド』(Paranoid Android)とほぼ似通ったもののようだ。この修正ソフトは、5月にデンマークのセキュリティー対策企業
http://secunia.com/ セキュニア社がこのセキュリティーホールについて初めて報告したのを受け、リリースされたものだ。
セキュニア社が「極度に危険」と評価した
http://secunia.com/advisories/11622/ セキュリティー勧告ほかによると、OS Xは「help:」「disk:」「disks:」「telnet:」のURIハンドラに脆弱性があるという。
アップル社は、今回の修正用アップデートが、セキュニア社が特定したすべてのセキュリティーホールを解消するものかどうかを明らかにせず、それ以上の詳細についてはコメントしなかった。同社の広報担当者は、アップル社のサイトに掲載されたいささか説明不十分な
http://www.info.apple.com/kbnum/n61798 サポートに関する記載を参照するように述べただけだった。
アップル社は5月21日に『ヘルプビューア』(HelpViewer)の脆弱性を解消する
http://www.apple.com/support/downloads/securityupdate__2004-05-24_(10_3_3).html セキュリティー・アップデートをリリースしている。このアップデートは、
http://hotwired.goo.ne.jp/news/news/technology/story/20040524302.html プレスリリースとともに華々しく登場(日本語版記事)したが、何をどのように修正したかについてはほとんど詳細を明らかにしていなかった。
このアップデートがリリースされてまもなく、OS Xが『ヘルプビューア』に関するもの以外のプロトコルを処理する方法について、アップル社が対処していなかったこと、そしてパッチをインストールしたシステムも以前と変わらず無防備だったことが、マック・コミュニティーによって明らかにされた。
セキュニア社のニールス・ラスムセン最高経営責任者(CEO)も、5月のアップデートがリリースされたとき、「マックOS Xシステムは、攻撃にまったく無防備だ。マックユーザーは現在も、パッチがリリースされる前と同じように攻撃に対して脆弱だ」と述べていた。
また、セキュリティー問題について沈黙を続けたアップル社に対しては、厳しい批判が寄せられている。
フィラデルフィア在住のウェブ開発者で、強い影響力を持つサイト『
http://daringfireball.net/2004/05/security_cannot_be_spun デアリング・ファイアーボール』(Daring Fireball)を運営するジョン・グルーバー氏は次のように述べている。「これらは、悪用されて深刻な被害をもたらす危険性のある、非常に重大な脆弱性だ。マッキントッシュの歴史上、最悪のセキュリティー問題と言ってもいいかもしれない。たとえ最悪の脆弱性ではなかったとしても、ひどいものであることはたしかだ……問題はアップル社がセキュリティーの脆弱性を、技術的な問題というより、マーケティング上の問題として取り扱う企業だということが露呈したことだ」
セキュニア社のトーマス・クリステンセン最高技術責任者(CTO)によると、同社はアップル社の最新修正パッチをまだテストできていないという。しかし、説明から推測すると、正しい方向への前進のようだと述べている。
「これが十分な修正かどうかを判断するのは時期尚早だろう。しかし、ディスクイメージ[のマウント]に関する(ポップアップ式の警告ダイアログボックスを導入した)件は、確かに手始めとしてはよい動きといえる」とクリステンセンCTO。
クリステンセンCTOは、セキュリティーホールに比較的迅速に対処したアップル社を賞賛している。しかしグルーバー氏と同様、修正パッチを出すまではセキュリティーホールについて何も語らないとする同社の方針を批判している。
「アップル社は、この方針を変更するべきだ。こうした問題は、公の場所で論議されていた。アップル社はまったく何も語らないのではなく、ユーザーがどんな対策を取れるかについてコメントしても良かったはずだ」
[日本語版:湯田賢司/長谷 睦]
日本語版関連記事
・
http://hotwired.goo.ne.jp/news/news/technology/story/20040608302.html アップル、多機能の携帯型Wi-Fiベースステーションを発表
・
http://hotwired.goo.ne.jp/news/news/technology/story/20040524302.html アップル、『OS X』のセキュリティ修正プログラムを配布
・
http://hotwired.goo.ne.jp/news/news/technology/story/20040521301.html 『マックOS X』に初めて深刻なセキュリティホールが判明
・
http://hotwired.goo.ne.jp/news/news/technology/story/20040412301.html 『マックOS X』を狙った「トロイの木馬」情報でひと騒ぎ
・
http://hotwired.goo.ne.jp/news/news/technology/story/20031107301.html マック最新OS X『パンサー』、ファイヤワイヤをめぐるバグは本当に解決したか?
・
http://hotwired.goo.ne.jp/news/news/technology/story/20030506301.html アップル、オンラインストアのセキュリティー脆弱性を修復
WIRED NEWSのメール購読申込みは
http://hotwired.goo.ne.jp/reception/index.html こちらへ
(WIRED)
http://headlines.yahoo.co.jp/hl?a=20040608-00000001-wir-sci