セキュリティ企業、サンドボックスの脆弱性情報をめぐりAppleの対応を批判

セキュリティ企業がAppleのサンドボックスに関する脆弱性を発見したと報告したが、その対応をめぐり、Appleを批判している。

» 2011年11月16日 07時36分 公開
[鈴木聖子,ITmedia]

 セキュリティ企業のCore Security Technologiesは、Appleのアプリケーションに実装されている「サンドボックス」というセキュリティの仕組みに関する脆弱性が見つかったとして、概略を公表した。

 Core Securityが11月10日付で掲載したアドバイザリーによると、Appleのデフォルトのサンドボックスプロファイルでは機能が適切に制限されておらず、禁止された機能の一部を実行できてしまう恐れがあるとされる。脆弱性を証明するためのコンセプト実証コードも併せて公開した。この問題はMac OS X 10.5〜10.7が影響を受けるとしている。

 同社は9月にこの問題をAppleに報告した。これに対してAppleは、説明文を改訂してCore Security指摘された問題を明記することを検討中だと返答してきたという。

 Core Securityのブログでは、このAppleの対応と、同社が別の脆弱性を発見して通報したAdobeとの対応を比較。Shockwave Playerの脆弱性を指摘されたAdobeが迅速な対応を見せたのとは対照的に、Appleは「われわれの働き掛けにもかかわらず、脆弱性があるとわれわれがみなしたコードについて、パッチを当てないことを選んだ」と批判している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ