2007年01月05日(金) 22時12分
Macに深刻なバグが続々と -"Month of Apple Bugs"プロジェクトがスタート(MYCOMジャーナル)
既報(
http://journal.mycom.co.jp/articles/2006/12/22/apple/ )の通り、1月1日、Apple Computerの製品の脆弱性を公開するプロジェクト「Month of Apple Bugs(MOAB)」がスタートした。このプロジェクトはKevin Finisterre氏とLMHと名乗る人物の2人が中心となって進めるもので、1カ月の間、毎日1つずつ脆弱性を公開していく。対象となるのはMac OS XやQuickTimeなどApple製品だけでなく、Mac OS X上で動作するアプリケーションの脆弱性も取り上げられるという。
すでに同プロジェクトのWebサイトでは複数の脆弱性について詳細な情報が公開されている。1月1日に報告された最初の脆弱性は、QuickTimeのRTSP(Real Time Streaming Protocol)のハンドリングに問題があり、URLに特定の文字列を含めるとバッファオーバーフローが発生して任意のコードを実行させることができるというもの。Webサイトには脆弱性を証明するサンプルコードも掲載されている。この現象はQuickTime 7.1.3で起きることが確認されているが、それ以前のバージョンでも発生する可能性がある。また、Mac OS X版だけでなく、Windows版にも同様の脆弱性がある。
ほかにも「VLC Media Playerのudpハンドリングに問題があり、リモートから任意のコードを実行させられる」「movファイルのHREFTrackを利用するとクロスサイトスクリプティング攻撃が可能になる」「iPhotoのXMLフィードの扱いに問題があり、リモートから任意のコードを実行させられる」といった脆弱性が公開されている。
Webサイトではプロジェクトの目的として「Appleやサードパーティのアプリケーションにが持つセキュリティの欠点を明らかにすることで、Mac OS Xの改善に役立てたい」と述べている。
Apple Computerはプロジェクトに対する正式なコメントは発表していない。だが、Apple Computerの社員としてOpenDarwinプロジェクトにも参加していたLandon Fuller氏は、自身のブログで脆弱性を解決する方法を公表している。また、同氏の呼びかけによってGoogle Groupsに「MOAB Fixes」というグループが開設され、脆弱性を修正するパッチが配布されている他、脆弱性に対する議論も行われている。
(佐々木康之)
【レポート】「Macは安全」神話崩壊? - Month of Apple Bugsプロジェクト1月より
http://journal.mycom.co.jp/articles/2006/12/22/apple/
the Month of Apple Bugs
http://projects.info-pull.com/moab/
Landon Fuller氏のブログ
http://landonf.bikemonkey.org/code/macosx/
MOAB Fixes
http://groups-beta.google.com/group/moabfixes?hl=en
Apple Computer
http://www.apple.com/
[MYCOMジャーナル]
http://headlines.yahoo.co.jp/hl?a=20070106-00000097-myc-sci