Apple、Apple Remote Desktopの脆弱性を修正

[ITmedia]

　Apple Computerは10月28日、Security Update 2004-10-27を公開した。サイズは832Kバイト。Mac OS Xのソフトウェア・アップデートで更新できる。

　Appleの記述によれば、このセキュリティアップデートではApple Remote Desktopの脆弱性がフィックスされる。

　この脆弱性は、Secunia Researchのアンドリュー・ナクラ氏が報告したもの。Apple Remote Desktopクライアントがインストールされており、ユーザーにアプリケーションを開き、終了させる権限が与えられていて、さらにApple Remote Desktopのユーザー名、パスワードが知られている場合、ファーストユーザスイッチで別のユーザーがログインしているときに悪用可能となる。

　別のシステムのApple Remote Desktop Administratorアプリケーションを使ってクライアントのGUIアプリケーションを立ち上げ、そのGUIアプリケーションをログインウインドウの後ろでルート権限で動かすことが可能となる。

　このアップデートにより、ログインウインドウがアクティブのときにはApple Remote Desktop経由でアプリケーションを起動することが防止される。この問題はApple Remote Desktop v2.1では修正済み。Mac OS X 10.3より前のシステムではこの問題は発生しない。