セキュリティ企業がAppleのサンドボックスに関する脆弱性を発見したと報告したが、その対応をめぐり、Appleを批判している。
セキュリティ企業のCore Security Technologiesは、Appleのアプリケーションに実装されている「サンドボックス」というセキュリティの仕組みに関する脆弱性が見つかったとして、概略を公表した。
Core Securityが11月10日付で掲載したアドバイザリーによると、Appleのデフォルトのサンドボックスプロファイルでは機能が適切に制限されておらず、禁止された機能の一部を実行できてしまう恐れがあるとされる。脆弱性を証明するためのコンセプト実証コードも併せて公開した。この問題はMac OS X 10.5〜10.7が影響を受けるとしている。
同社は9月にこの問題をAppleに報告した。これに対してAppleは、説明文を改訂してCore Security指摘された問題を明記することを検討中だと返答してきたという。
Core Securityのブログでは、このAppleの対応と、同社が別の脆弱性を発見して通報したAdobeとの対応を比較。Shockwave Playerの脆弱性を指摘されたAdobeが迅速な対応を見せたのとは対照的に、Appleは「われわれの働き掛けにもかかわらず、脆弱性があるとわれわれがみなしたコードについて、パッチを当てないことを選んだ」と批判している。
Copyright © ITmedia, Inc. All Rights Reserved.