Mac OS Xが深刻な脆弱性のある古いJRE(Java Runtime Environment:Java実行環境)を搭載しているとして、セキュリティベンダーやUS-CERTが注意を呼びかけている。現時点での脆弱性回避策は、Javaを無効にすること。
この脆弱性は、サンマイクロシステムズが昨年12月に修正したもの。アップルはこの脆弱性になかなか対処しようとせず、12日に公開されたMac OS Xの最新版「10.5.7」や、セキュリティアップデート「2009-002」でも問題は解消されていない。これを受け、セキュリティ研究家のLandon Fuller氏は、自身のブログ上でこの脆弱性を突くコンセプト実証コードを公表した。アップルに対処を迫った形だ。
この脆弱性を悪用されると、ログインユーザーの権限でファイルの読み取り、書き込みと実行が可能となるため、悪意のあるサイトを閲覧しただけで、任意のコードを実行されるおそれがある。
(2009/05/22 ネットセキュリティニュース)
■Critical Mac OS X Java Vulnerabilities[英文](Landon Fuller)
http://landonf.bikemonkey.org/code/macosx/CVE-2008-5353.20090519.html
■Mac OS X Includes Known Vulnerable Version of Java[英文](US-CERT)
http://www.us-cert.gov/current/index.html#java_vulnerability_affects_mac_os
■Java/Evasion.A Java Vulnerability[英文](Intego Security Memo)
http://www.intego.com/news/ism0905.asp
■Critical Mac OS X Java Vulnerability Proof-Of-Concept[英文](SecureMac)
http://www.securemac.com/java.php
■CVE-2008-5353
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353