大きな問題となっているDNSの脆弱性をめぐり、AppleもMac OS Xのパッチを公開した。だが完全ではないようだ。
米Appleは8月1日、Mac OS Xのセキュリティアップデート「2008-005」を公開し、DNSキャッシュポイズニングの脆弱性などに対処した。しかしこのパッチを適用しても、問題が完全に解決されないとの指摘もある。
DNSキャッシュポイズニングの脆弱性は、Mac OS Xとともに配布されているDNSサーバのBINDに存在する。BINDはデフォルトで無効になっているが、有効にした場合、脆弱性を突いてDNSキャッシュポイズニング攻撃を仕掛けられる恐れがある。Mac OS X v10.4.11ではBIND 9.3.5-P1に、Mac OS X v10.5.4ではBIND 9.4.2-P1にそれぞれアップデートした。
しかしSANS Internet Storm Centerは同日、完全にパッチを当てたOS X 10.5.4でテストしたところ、DNS問題に関して十分な対応がなされていないことが分かったと報告した。
別の研究者は、OS X 10.4についてもパッチを当てた後もまだクライアントライブラリがソースポートのランダム化を行っておらず、DNS問題は未解決だと伝えている。
2008-005のアップデートでは、DNSの脆弱性のほかにも11項目の問題に対処している。このうちQuickLookの脆弱性は、Microsoft Officeファイルを処理する際のメモリ破損問題に起因し、細工を施したOfficeファイルをダウンロードすると任意のコードが実行される可能性がある。
また、CoreGraphicsの2件の脆弱性も、細工を施したWebサイトを使って悪用すると任意のコードを実行できる可能性がある。PHPはバージョン5.2.6にアップデートして複数の脆弱性に対処した。
Copyright © ITmedia, Inc. All Rights Reserved.