Apple、OS Xのセキュリティ更新を公開、Mountain LionとLion向けにも

SSL/TLS通信の問題などを含む多数の脆弱性を修正した。Mountain LionとLion向けのセキュリティアップデートが公開されるのは、2013年10月22にMavericksが登場して以来、初めてとなる。

[鈴木聖子，ITmedia]

　米Appleは2月25日、OS Xのアップデートを公開し、危険性が指摘されていたSSL/TLS通信傍受の脆弱性のほか、多数の脆弱性を修正した。最新版のOS X Mavericks v10.9のほか、Mountain Lion v10.8とLion v10.7もアップデートの対象となっている。

　同社のセキュリティ情報によると、「OS X Mavericks 10.9.2」と「Security Update 2014-001」ではApacheやApp Sandbox、ATS、CoreText、Finder、PHP、QuickTimeなどに存在する多数の脆弱性を修正した。任意のコード実行につながる深刻な脆弱性も多数含まれる。

　中でも「データセキュリティ」関連の脆弱性は、先にiOSで修正されていたもので、Secure Transportで接続の認証がチェックされず、SSL/TLSで保護されているはずのセッションのデータが傍受されたり、改ざんされたりする恐れがあった。OS Xの中で影響を受けるのはMavericksのみのようだ。

大きな影響が指摘されて脆弱性内容

　専門家はこの脆弱性について、第三者が通信に割り込む「中間者攻撃」に利用される恐れがあるとして、できるだけ早くアップデートを適用するよう呼び掛けていた。

　Mountain LionとLion向けのセキュリティアップデートが公開されるのは、2013年10月22にMavericksが登場して以来、初めて。Mavericksは登場した時点と同年12月にも多数の脆弱性が修正される一方、Lion向けのセキュリティアップデートは同年9月を最後、Mountain Lion向けは10月3日付の「追加アップデート」を最後に途絶えていた。このため関係者の間では、AppleはMountain Lionなどのサポートを打ち切ったのかと危惧する声が出ていた。

　今回Mountain LionとLionで修正された脆弱性の中には、先のMavericksのアップデートで修正済みの脆弱性も含まれる。ただ、全てが網羅されているかどうかは不明だ。

Mavericksのアップデートは2回目となる