2003年11月28日(金) 09時00分

Mac OS Xに脆弱性--パッチはまだ手に入らず（CNET Japan）

　米Apple ComputerのMac OS Xに、まだパッチがリリースされていない脆弱性があることがわかり、しかもその詳細がウェブで公開されてしまった。

　この脆弱性を発見した研究者、William Carrelは、自分がパッチが開発される前に セキュリティ警告 を発表せざるを得なかったのは、Appleユーザーの利益を考慮したためだ、と主張している。同氏の話では、Appleの修正パッチ開発への対応が鈍いため、Appleユーザーは「危険に晒されたまま」だという。

　Carrelによると、Appleは当初応諾したパッチリリース日になってもこの約束を果たさず、その後何週間も待たせているという。

　「その間、ユーザーは危険に晒されたままで、誰か、おそらく私よりも良心のない人間が、独自に（その脆弱性を）発見する可能性はかなり高かった」とCarrelはセキュリティ警告に記している。「私は騙されているような気がしてきた。それに、この問題に対しては適切な対処が全くなされないかもしれないと思ったので、私はその時点で厳しい期限を設定した。そして、彼らがその期限を守らなかったので、私はセキュリティ警告を発表したのだ」（Carrel）

　Appleは10月にも、OS Xに見つかった一連のセキュリティ脆弱性について、当初旧バージョン「Jaguar」用のパッチを提供せず、顧客が安全を確保するためには最新バージョンの「Panther」にアップグレードせざるをえない、という強引な戦略をとったことから、セキュリティコミュニティの非難を浴びた。これらのOS Xの脆弱性は、米国のセキュリティ調査会社＠Stakeが発見した。

　Appleはその後、＠Stakeが発見したJaguarの脆弱性の修正パッチをリリースしたと報じられている。しかし、 最近リリースされたセキュリティアップデート を詳しく調べてみると、パッチがリリースされた脆弱性のCommon Vulnerability and Exposure (CVE)識別番号は、＠Stakeが発見した脆弱性に割り当てられた識別番号と一致していない。このため、OS XのJaguarバージョンには、古いバグの脆弱性が依然として残っている模様だ。

　最新の脆弱性が見つかったのは、OSが異常なDHCPサーバからの悪質なレスポンスを処理するやり方の部分だ。DHCPサーバとは、あるネットワーク上のコンピュータにIPアドレスを割振るネットワークサーバを指す。

　Carrelはセキュリティ警告のなかで、Appleに最初にバグを通知したのは、この警告を発表する48日も前のことだったと主張している。「これほど影響力のある脆弱性の問題に、Macユーザーを2カ月以上も晒したままにしておくのは、公平ではないと思った。反論もあるかと思うが、私は自分の行動を後悔していないし、またApple Computerとそのユーザーに対して公明正大な行動を取ったと感じている」（Carrelのセキュリティ警告より）

　Carrelによると、Appleは12月にパッチをリリースすると述べているという。この脆弱性の回避方法は、 セキュリティ警告 に詳しく記載されている。

関連記事：
米アップル、Panther用のセキュリティパッチをリリース - 2003年11月5日
米アップル：「Mac OS X旧バージョン用のパッチも用意する」 - 2003年11月5日
米アップル、旧OS X用のパッチはなし--対応に批判の声も - 2003年10月30日
Mac OS Xに脆弱性みつかる-但し10.3 Pantherなら大丈夫 - 2003年10月30日

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

　■CNET Japanニューズレター（無料）
　 国内外のIT関連ニュースやコラムの新着情報を毎日お届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20031128-00000001-cnet-sci