アップルは30日、OS Xに搭載されている「bash」の脆弱性を修正する「OS X bash Update 1.0」を公開した。対象となるのは、OS X Mavericks(v10.9.5)、Mountain Lion(v10.8.5)、Lion(v10.7.5)、OS X Lion Server(v10.7.5)。
「OS X bash Update 1.0」では、OS Xのコマンドシェル「bash(バッシュ)」が環境変数を通じて、任意のコマンドを実行してしまう問題を解決する。
アップデータは、いまのところ「ソフトウェア・アップデート」を通じた自動インストールには対応しておらず、同社の「サポートダウンロード」ページでの公開のみとなっている。
■脆弱性の概要と影響
OSの操作機能を提供するソフトウェア(ユーザーインターフェイス)をシェル(shell)という。普段は画面操作が主体のビジュアルシェルを使用するOS Xだが、キーボードからコマンドを入力して操作するコマンドシェルも搭載している。bashは、このコマンドシェルのひとつで、OS Xではディフォルトのコマンドシェルとして使われている。
bashは、一連の作業を関数として定義し実行することができ、関数を環境変数を使用して他のプロセスに渡す仕組みがある。環境変数は、OSが提供するプロセス間でデータを共有するための仕組みのこと。任意の文字列に名前を付けて設定しておける共通のメモリー空間だ。
bashには、この環境変数を処理する際に細工された関数定義があると、設定された文字列をシェルコマンドとして勝手に実行してしまう問題があった。これは、環境変数の設定とbashの起動が行えれば、シェル上で任意の操作が行えることを意味する。
問題のあるbashは、GNU Projectが提供するもので、Webサーバーなどに使われているLinuxなどのUNIX系OSに含まれていることが多いため、脆弱性が発覚した先週から極めて深刻な問題として扱われており、セキュリティ関連機関や企業が一斉に警告を出していた。
問題のあるbashを標準搭載しているOS Xも例外ではないが、編集部では当初より、一般的なご家庭の使用環境では影響を受けないタイプの脆弱性と判断し、記事の掲載は見送っていた。Webの閲覧中にウイルスに感染してしまうようなことにはならず、大半の方にとっては攻撃されることのない脆弱性だが、外部から攻撃を受ける可能性のある一部の環境では、悪用が容易な極めて深刻なものなので、アップデータを早急に適用しておきたい。
(2014/09/30 ネットセキュリティニュース)
【関連URL:アップル】
・About OS X bash Update 1.0
http://support.apple.com/kb/HT6495
・OS X bash Update 1.0 -- OS X Mavericks
http://support.apple.com/kb/DL1769
・OS X bash Update 1.0 -- OS X Mountain Lion
http://support.apple.com/kb/DL1768
・OS X bash Update 1.0 - OS X Lion
http://support.apple.com/kb/DL1767