アップルコンピュータは1日、13コンポーネント20項目の脆弱性を修正したMac OS Xのセキュリティアップデート「Security Update 2006-001」を公開した。対象となるのは「Mac OS X 10.3.9」のサーバー版およびクライアント版と、PowerPC版およびIntel版の「Mac OS X 10.4.5」。それぞれのパッケージが用意され、同社のダウンロードサイトやMac OS Xの「ソフトウェアアップデート」経由で入手できる。
今回のアップデートでは、ブラウザの「safari」やメールソフトの「Mail」が細工されたシェルスクリプトを確認なしに実行してしまう問題への対策も含まれており、警告メッセージを表示するよう改善されている。ただし、ZIPアーカイブに仕込まれたメタデータの処理に起因する本質的な問題(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0848" target="_blank">CVE-2006-0848</a>)は未修正のままなので、安全性の確認ができないZIPファイルを開く場合には引き続き注意が必要だ。
そのほかにも、先ごろ実証コードが公開された、「passwd」コマンドによってroot権限でファイルの作成や操作が行える脆弱性の修正。「Mac OS Xを狙うウイルス出現」で話題となった「Leap.A」に対処するための、インスタントメッセンジャー「iChat」のセキュリティ強化策なども含まれている。
(2006/03/03 ネットセキュリティニュース)
■About Security Update 2006-001(Apple)
http://docs.info.apple.com/article.html?artnum=303382-ja
■Security Update 2006-001
・10.4.5 (PPC)
http://www.apple.com/jp/ftp-info/reference/securityupdate2006001macosx1045ppc.html
・10.4.5 Client (Intel)
http://www.apple.com/jp/ftp-info/reference/securityupdate2006001macosx1045clientintel.html
・10.3.9 Client
http://www.apple.com/jp/ftp-info/reference/securityupdate20060011039client.html
・10.3.9 Server
http://www.apple.com/jp/ftp-info/reference/securityupdate20060011039server.html
■セキュリティ関連ニュース
・Mac OS Xに極めて深刻な未修正の脆弱性(2006/02/22)