Apple Computerは10月28日、Security Update 2004-10-27を公開した。サイズは832Kバイト。Mac OS Xのソフトウェア・アップデートで更新できる。
Appleの記述によれば、このセキュリティアップデートではApple Remote Desktopの脆弱性がフィックスされる。
この脆弱性は、Secunia Researchのアンドリュー・ナクラ氏が報告したもの。Apple Remote Desktopクライアントがインストールされており、ユーザーにアプリケーションを開き、終了させる権限が与えられていて、さらにApple Remote Desktopのユーザー名、パスワードが知られている場合、ファーストユーザスイッチで別のユーザーがログインしているときに悪用可能となる。
別のシステムのApple Remote Desktop Administratorアプリケーションを使ってクライアントのGUIアプリケーションを立ち上げ、そのGUIアプリケーションをログインウインドウの後ろでルート権限で動かすことが可能となる。
このアップデートにより、ログインウインドウがアクティブのときにはApple Remote Desktop経由でアプリケーションを起動することが防止される。この問題はApple Remote Desktop v2.1では修正済み。Mac OS X 10.3より前のシステムではこの問題は発生しない。
Copyright © ITmedia, Inc. All Rights Reserved.