Appleがセキュリティアップデートをリリースしてから1日足らずのうちに、セキュリティ研究企業のImmunityがエクスプロイトコードを公表した。
セキュリティ研究企業のImmunityが、Mac OS Xに影響を与える深刻なバグのエクスプロイトコードを公表した。Appleがこの脆弱性に対するパッチをリリースしてから、ほんの24時間以内のことだ。
不具合となっているのは、UPnP IGD(Internet Gateway Device Standardized Device Control Protocol)コードに存在するバッファオーバーフローの脆弱性だ。UPnP IGDは、Mac OS Xに実装されているmDNSResponderのNATゲートウェイで、ポートマップを作成するために使われている。
Appleは5月21日の週の後半に、問題の脆弱性を修正するパッチを公表した。この脆弱性は、アップデートによって修正された17種類のセキュリティ問題のうちの1つで、悪用されればリモートからのコード実行につながる恐れがある。影響が及ぶのはMac OS X v10.4.9とMac OS X Server v10.4.9だ。
エクスプロイトは、それから24時間と経たない5月25日に作成され、Immunityのパートナープログラムのメンバーに公表された。
マイアミに本拠を置くImmunityのCTO、デイブ・エイテル氏は、エクスプロイトに関する投稿の中で「基本的に、スターバックスの店内ネットワークを使っている人であれ、コンベンションに来たMacユーザーであれ、リモートからルートを取ることができる」と述べている。「ImmunityのエクスプロイトはPPCでもIntelでも、どちらでもよりどりみどりだ。サービスを再起動するまでに二回選ぶこともできる」
マサチューセッツ州レキシントンのArbor Networksでソフトウェア・セキュリティエンジニアを勤めるジョゼ・ナザリオ氏は、Macの脆弱性に対するエクスプロイトがこれほどすぐにリリースされるのは珍しいことだと述べた。
「1日や2日かそこらで、これほどにすぐに出てくる例は他に知らない」(ナザリオ氏)。同氏はさらに、Mac OS Xはセキュリティ研究者同様、ハッカーらにとっても興味深いソースになっていると付け加えている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.