［世界］
アップル、Mac OS X Leopardをアップデート――68件の改善／フィックスを実施

iCalのセキュリティ脆弱性には未対応

（2008年05月29日）

　米国Appleは5月28日、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.3 Update」をリリースした。同アップデートには、安定性、互換性、セキュリティに関する70近くの改善とバグ・フィックスが含まれている。ただし、付属するiCalで見つかったセキュリティ脆弱性を修正するパッチは今回も見送られた。

　Mac OS X 10.5.3は、Appleが昨年10月にLeopardをリリースして以来、3度目のアップデート版となるもの。Address BookからAutomator、Time Machine、VoiceOverに至る複数のコンポーネントとバンドル・アプリケーションの問題に対処している。

バックアップ・ツールのTime Machineにも改善が施された

　Mac OS X 10.5.3に含まれる改善／フィックスのうち、13件はGeneralカテゴリーに分類されている。Finderで認識できないハードドライブに対するフィックス、AFPボリュームの検索に使用するSpotlightツールの改善、USB接続の一部ハードウェアからオーディオ／ビデオを再生したときの乱れを解消するパッチなどだ。

　また、ワイヤレス技術であるAirPortにはフィックスが2つある。1つはワイヤレス通信の信頼性を全面的に改善するフィックス、もう1つはTime Capsuleを使用する際の信頼性を高めるフィックスだ。Time Capsuleは、今年初めにデビューしたルータ兼バックアップ・デバイスである。

　そのほか、インスタント・メッセージング／ビデオ・コンファレンス・アプリケーションのiChatには5つのフィックス、Appleの電子メール・クライアントであるMailには10のフィックス、Time Machineには7つのフィックスがある。

　Appleによると、Time Machine用のフィックスは、バッテリで動作しているノートPCをバックアップするときの問題に加え、Time Machineのバックアップ・データから復元するときに一部ユーザーが直面した信頼性の問題に対処しているという。

　パーソナル・スケジューラであるiCalにも8つのフィックスが用意されているが、米国Core Security Technologiesが5月21日に明らかにした脆弱性を修正するパッチは見送られた。

　Coreは今年1月、iCalに存在する3つのバグをAppleに報告したものの、Appleから何度も公表を控えるよう求められていた。だが、Appleがまたしてもパッチ提供を延期したため、Coreではこれらの脆弱性を公表する決断を下したという。

　「セキュリティ企業が早急な対策をベンダーに求めているにもかかわらず、ベンダーの対応はいつも遅れる」と、米国nCircle Network Securityのセキュリティ・オペレーション担当ディレクター、アンドリュー・ストームズ（Andrew Storms）氏は不満げに話す。

　ただし、「今回のケースはAppleとCoreのどちらが悪いとは言えない」とStorms氏。「MicrosoftやAppleといった大手ベンダーの場合、パッチをリリースするまで通常6～8カ月かかる。もちろん、CoreがAppleにパッチのリリースを急ぐよう迫るのも理解できる」（同氏）

　先週、Coreの最高技術責任者（CTO）を務めるイヴァン・アルチェ（Ivan Arce）氏にインタビューしたところ、「現行版のiCalには脆弱性が複数あり、その1つは緊急を要するものだ」と述べていた。とはいえ、実際にiCalの脆弱性を突く攻撃が行われたという証拠は、まだ見つかっていないとのことだ。

　Storms氏は、「この脆弱性を突き止めるのに、さしてリバース・エンジニアリングは必要ない」と前置きし、「脆弱性に精通した攻撃者であれば、Coreの開示情報を参考にして簡単に推測できるはずだ。これは憂慮すべきことである。悪意ある『.ics』ファイルをクリックしたらおしまいだ」と不安をのぞかせる。

　なお、iCalの脆弱性を修正するパッチのリリースがいつになるのか、Appleに電子メールで問い合わせたが、返信はなかった。

　Mac OS X 10.5.3 UpdateはAppleのWebサイトからダウンロードできる。また、Mac OS Xに用意されているアップデート機能を使ってインストールすることも可能だ。

(Gregg Keizer／Computerworld米国版)