AppleがMac OS X、Safari、iOSのアップデートを一挙公開 既知のセキュリティ問題に対処

Appleがセキュリティアップデートをまとめて公開した。不正なSSL証明書が発行された問題や、ハッキングコンペで発覚したWebKitの脆弱性に対処した。

[鈴木聖子，ITmedia]

　米Appleは4月14日、Mac OS XとWebブラウザのSafari、iPhoneやiPadに搭載されているiOSのセキュリティアップデートを一挙に公開した。不正なSSL証明書が発行された問題や、ハッキングコンペで発覚した脆弱性などに対処している。

　不正なSSL証明書の問題では、SSL認証局のComodoが3月に、アフィリエートのアカウントが何者かに侵入され、不正な証明書が発行されたことを明らかにしていた。フィッシング詐欺や中間者攻撃などに利用される恐れがあるとされ、MicrosoftやMozillaのFirefoxなどは、既に攻撃防止のためのアップデートを配信済み。

　AppleはMac OS Xのセキュリティアップデート「2011-002」（Mac OS X 10.5.8／10.6.7向け）とiOSのソフトウェアアップデートでこの問題に対処し、不正に発行されたSSL証明書をブラックリストに掲載する措置を取った。iOSのソフトウェアアップデートは、「iOS 4.2.7」がiPhone 4（CDMAモデル）向け、「iOS 4.3.2」がiPhone 3GS以降とiPod touchの第3世代以降、およびiPad向けとなる。

　なお、SafariはSSLサーバ証明書が信頼できるかどうかのチェックをホストOSで行っているといい、WindowsではMicrosoftが公開したアップデートを導入すれば、この問題に対処できるとした。

　一方、3月に開かれたTippingPoint主催のハッキングコンテスト「Pwn2Own」で発覚した2件の脆弱性は、iOSのアップデートおよびSafariの最新版となるバージョン5.0.5（Windows、Mac OS X向け）で解決された。脆弱性はオープンソースのブラウザレンダリングエンジン「WebKit」に存在する。Pwn2Ownではセキュリティ研究者がこの問題を突いてSafariやBlackBerryのハッキングに成功していた。

　このほかにiOSのアップデートでは、QuickLookでMicrosoft Officeファイルを処理する方法に存在する深刻な脆弱性にも対処している。