［米国］
Mac OS X上でWebセキュリティ・ホールが未解消、と専門家が指摘

（2004年12月08日）

　米アップル・コンピュータは、先週発見されたHFS+ファイルシステムの名前付きフォークの脆弱性をまだ適切に修正していない。その問題を報告した会社が注意を促している。

　マネージド・セキュリティ・サービスの米ネットセクによると、アップルが先週末に提供を開始した修正プログラムは、出荷時にデフォルト設定されているApache Webサーバ・ソフトウェアを稼働しているMac OS Xシステムのセキュリティ問題に対処するだけであり、仏フォーディーの4D WebSTARのような、別のWebサーバ・ソフトウェアを使用している顧客の脆弱性は解消されない。
　
　さらに、Mac OS X上で修正されたバージョンのApache Webサーバを稼働している場合には、アップデート・パッチを自動的に受け取っていないが、そのことに気付いていないかもしれないという。

　この脆弱性は、攻撃者がURLを利用してバックエンドのデータ構造にアクセスし、Webサイトの改竄や情報盗み出しを行なうのを許してしまうおそれがある。
　
　ネットセク社によると、悪用コードの存在はこれまでに確認されていない。しかし、複数のパブリックドメイン・サイトですでに悪用コードについての話が開始されているため、同社はアップル・ユーザー・コミュニティーに知らせることにしたという。
　
　「アップルは問題箇所にバンドエイドを一枚貼っただけ」と、ネットセクのトム・パーカー氏。問題を完全に解消するにはMac OS Xのカーネルに対する複雑な変更と思われ、中途半端なパッチになっているのはそのせいかもしれない、と同氏は述べている。
　
　Mac OS X上でApacheを利用している顧客数を知るのは難しいが、情報ソースの一つ、英ネットクラフトによると、4D WebSTARを稼働しているハイレベル・サーバの数は6万台近い。一方、Apacheは、プラットフォームを問わず、際立って多く利用されている。

(Techworld.com)