［米国］
Apple、今年初のMac OS X向けセキュリティ・アップデートを公開

Leopardの最新アップデート「Mac OS X v10.5.2」も同時リリース

（2008年02月12日）

　米国Appleは2月11日、Mac OS Xに含まれる少なくとも10件の脆弱性を修正する今年初のセキュリティ・アップデート「Security Update 2008-001」と、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.2 Update」を公開した。

　Security Update 2008-001は、Appleがこれまでにリリースしたセキュリティ・アップデートと同様、同社のソフトウェアに含まれるセキュリティ・ホールだけではなく、Mac OS X Tiger/Leopardに統合されているオープンソース・コンポーネントの不具合にも対応しており、その中には、ファイル／プリンタ共有アプリケーションのSambaやX Window SystemのApple版であるX11のバグも含まれている。

　10件の脆弱性（1件に複数の脆弱性が含まれる場合があるため、バグの数はもっと多い可能性がある）という数については、前回のアップデートと比べて大幅に少ない。前回は42件の脆弱性にパッチが適用された。

　Appleは、10件の脆弱性のうち7件について「恣意的なコードが実行される危険性がある」と警告している。これは、エクスプロイトを使って悪意のあるコードをMacに組み込んだり、攻撃者がマシンをハイジャックしたりすることができるバグを指す。同社はソフトウェアの不具合をランクづけしていないが、Microsoftなどのベンダーは、通常この種の脆弱性を「Critical：緊急」に分類している。

　Security Update 2008-001には、Sambaに対応する1種類のパッチとX11に対応する2種類のパッチが含まれているほか、Directory Services、Launch Services、Mail、Open Directory、Parental Controls、Terminalのバグにも対応している。また、1984年に開発されたSun/IBMのプロトコルNFS（Network File System）の脆弱性や、AppleのWebブラウザSafariに対応するパッチも含まれている。

　Appleによると、Safariの不具合は、Mac OS X 10.5.x Leopardにパッケージされているバージョンのみに含まれるもので、URLの処理機能に関係しているという。セキュリティ・アップデートに付けられた注意書きには、「悪意を持って作成されたURLにユーザーを誘い込むことで、攻撃者が不意にアプリケーションを終了させたり、恣意的なコードを実行したりできるようになる。このアップデートは、URLの追加的な検証を行うことでこの問題に対応する」と書かれている。

　Security Update 2008-001は、AppleのWebサイトから手作業でダウンロードできるほか、Mac OS Xに搭載されているアップデート機能を使ってインストールすることもできる。

　Mac OS X 10.5.2 Updateは、2007年10月にMac OS X 10.5 Leopardがデビューして以来、2番目のアップデートとなる。Mac OS X 10.5.2 Updateがまもなくリリースされるという報道は、数週間前からWeb上を駆け巡っており、とりわけ3週間前に出た記事には多くの注目が集まっていた（関連記事）。なお、Leopardに関連するパッチは同アップデートに組み込まれている。

(Gregg Keizer／Computerworld オンライン米国版)