［世界］
アップル、DNS脆弱性の“再修正”パッチを含む「Mac OS X 10.5.5」をリリース

DNS修正をセキュリティ企業が確認。パッチ総数は70件近くに

（2008年09月17日）

　米国Appleは9月16日、Mac OS Xの最新アップデート版「Mac OS X 10.5.5」をリリースした。同アップデートには、信頼性と安定性にかかわるバグを修正するパッチのほか、7月末配布のパッチで修正できなかったDNS脆弱性にあらためて対応するパッチが含まれている。

Mac OS X 10.5.5の説明ページ

　今回のアップデートは、Appleが5月下旬に70件近くのセキュリティ以外の修正と40件のバグ・パッチからなるMac OS X 10.5.3を発表して以来、最大のアップデートとなる。

　Appleによると、セキュリティ関連では、Mac OS Xのフォント・メカニズム、Finder、イメージ・プロセッサ、ログイン・プロセス、システム・コンフィギュレーション・ユーティリティ、「Time Machine」バックアップ・アプリケーションに存在するバグが修正された。同社は慣例に従い、「Leopard」ユーザーに対してはセキュリティとそれ以外の脆弱性を一緒にバンドルしているが、旧OS「Tiger」のユーザーに対しては脆弱性の修正を切り離している。

　セキュリティ脆弱性34件のうち9件は、Appleのいつものフレーズ「arbitrary code execution（任意のコード実行）」と呼ばれるバグだ。AppleはほかのOSベンダーとは異なり、報告する脆弱性をランク付けしない。だが、このフレーズで呼ばれるバグは一般に「緊急」と見なされている。

　このうち最も目を引くのは、AppleのDNS実装に存在していた深刻なセキュリティ・ホールをふさぐ2件の修正である。

　DNSはインターネット上の交通巡査に例えられる。「ダン・カミンスキー（Dan Kaminsky）氏のエクスプロイトを防ぐパッチがようやく適用された」と、セキュリティ・ベンダーの米国nCircle Network Securityでセキュリティ・オペレーション担当ディレクターを務めるアンドリュー・ストームズ（Andrew Storms）氏は満足げに語った。「これこそクライアント側に求められていた修正だ」（同氏）

　セキュリティ研究者のカミンスキー氏は今年7月、簡単にDNSサーバをキャッシュ・ポイズニングしたり、インターネットのルーティング基盤に偽情報を挿入したりできる、DNS内の重大な欠陥を明らかにした。ところが、米国Microsoftや米国Red Hatといった他の大手OSベンダーとは異なり、Appleはカミンスキー氏が7月8日に欠陥を公表してもパッチを配布しなかった。

　実のところ、Appleは7月31日にDNS修正パッチをリリースしてはいるが、ストームズ氏をはじめとするセキュリティ関係者らは、そのパッチを適用しても、Mac OS Xのクライアント・エディションで動作しているMacの欠陥を修正できないことを確認した（関連記事）。

　だが、今回はうまくいったようだ。「（Mac OS X 10.5.5を）インストールしてテストした結果、クライアントのDNSバグがしっかり修正されていた」とストームズ氏は証言する。

　Appleは、Mac OS Xの「BIND（Berkeley Internet Name Domain）」実装もアップデートした。BINDは米国Internet Software Consortium（ISC）が管理するオープンソースのDNSソフトウェアである。ISCはカミンスキー氏が発見した脆弱性に対応すべくいち早くパッチをリリースしたが、そのパッチにはパフォーマンス上の問題があったため、8月上旬にあらためて新バージョンを発表した。10.5.5では最新のBINDにも対応したことになる。

　他のパッチは、例えばLeopardとTigerのサーバ・ソフトウェアに用意されているオープンソースのウイルス対策スキャナ「ClamAV」の脆弱性を修正する9件のパッチなど、Mac OS Xのサーバ・エディションを対象としたものだ。

　Mac OS X 10.5.5では、10.5に存在する少なくとも34件のセキュリティ以外の欠陥も修正された。発表資料によると、「Address Book」と「Disk Utility」のバグ2件、カレンダー・アプリケーション「iCal」のバグ6件、電子メール・クライアント「Mail」の7件、昨年10月に10.5とともに登場したTime Machineの4件が含まれている。

　Appleのオンライン同期化／ストレージ・サービス「MobileMe」に関連する修正も2件ある。同サービスは7月から8月にかけてさまざまな障害に苦しめられ、それが原因でCEOのスティーブ・ジョブズ（Steve Jobs）氏が組織再編を断行したほどだ。

　さらに、電源投入時のトラブルや、ビデオ再生と「MacBook Air」のリモート・ディスク共有を巡る安定性の問題、さらにはiPhoneとPalmの同期化に伴うバグも修正されているとのことだ。また、「グラフィックスまわりの大々的な拡張」も行われているという。

　「Security Update 2008-006」はAppleのWebサイトからダウンロードできるほか、Mac OS Xのアップデート・サービスを使ってインストールすることも可能だ。なお、脆弱性の修正はすでにアップデートに含まれているため、Leopardユーザーがアップデート・サービスを使う場合は、Mac OS X 10.5.5のアップグレードだけを行うことになる。

(Gregg Keizer／Computerworld米国版)