システムの日時合わせを行う仕組み「NTP」の実装に用いられている「ntpd」がアップデートされたことを受けて、アップルは23日、OSX用のNTPセキュリティアップデートを公開した。
アップデートの対象となるのは、OS X Mountain Lion(v10.8.5)、 OS X Mavericks(v10.9.5)、OS X Yosemite(v10.10.1)。「App Store」を通じて自動または手動で更新できる。確認は、「App Store」の「アップデート」で行える。アップデート後のバージョンは、Mountain Lion用が「ntp-77.1.1」、Mavericks用が「ntp-88.1.1」、Yosemite用が「ntp-92.5.1」になる。
NTP(Network Time Protocol)は、システム間で日時合わせを行う、同期の仕組みのこと。このNTPをシステムに組み込むために用いられているのが、NTF(Network Time Foundation)のNTP Projectが開発している「ntpd」だ。
この「ntpd」に複数の深刻な脆弱性が見つかり、今月19日、問題を修正した最新版「4.2.8」が公開された。修正された脆弱性には、コード実行のおそれのあるスタックベースのバッファオーバーフローを引き起こす危険な問題が複数含まれており、細工されたパケットを送り付けられると、システムを乗っ取られてしまうおそれがある。
(2014/12/24 ネットセキュリティニュース)
【関連URL】
・About OS X NTP Security Update[英文](アップル)
http://support.apple.com/ja-jp/HT6601
・JVNVU#96605606:Network Time Protocol daemon (ntpd) に複数の脆弱性概要(JVN)
http://jvn.jp/vu/JVNVU96605606/
・SecurityNotice[英文](NTP Project)
http://support.ntp.org/bin/view/Main/SecurityNotice