「Mac OS Xの脆弱性は未解決」とSecunia

[IDG Japan]

　米Apple Computerは5月21日、先に見つかったMac OS Xの脆弱性を修正するパッチをリリースしたが、セキュリティ企業Secuniaは5月24日、Macユーザーはまだ安全とは言えないと指摘した。

　「脆弱性のあるユーザーのシステム上では今でも任意のコードを実行される恐れがある。Appleが21日にMac OS Xのセキュリティアップデートをリリースする前と同じくらい簡単だ」と、Secuniaの二ールズ・ヘンリック・ラスムセンCEOはMacCentralに寄せた電子メールで述べている。

　Appleが21日にリリースしたパッチではHelpViewerの脆弱性に対応、インストール後は、HelpViewerが起動したスクリプトのみを実行するようになっている。しかし、ほかの脆弱性が問題だとラスムセン氏は言う。

　「本当に深刻なのは、Appleが『ディスク』URIの脆弱性に対応しなかったことだ。この脆弱性では、不正なWebサイトからユーザーのシステム上に、こっそりコードを置くことができてしまう。ヘルプの脆弱性が解消された後はすべてOKのはずだったが、別の非常に不運な機能がMac OS Xのディスクイメージとボリュームハンドリングに存在することが分かっている。ディスクイメージで新しいURIハンドラを登録し、これをアプリケーションと関連付けることが可能だ。このアプリケーションはディスクイメージまたはボリューム上に置くことができるようだ」とラスムセン氏。

　Secuniaによれば、これを悪用されると「ヘルプ」URIハンドラの問題と同じ形で、不正なWebサイト経由で「ディスク」の脆弱性を突くことができてしまい、Mac OS Xが攻撃を受けやすい状況は変わらないという。

　Apple担当者のコメントは今のところ取れていない。