ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Appleバグ月間プロジェクトがスタート、追いかける形で非公式パッチも

» 2007年01月05日 15時06分 公開
[ITmedia]

 Apple ComputerのMac OS Xと同OS向けに作成されたアプリケーションソフトウェアのバグ/脆弱性情報を公開するプロジェクト「MOAB」(Month of Apple Bugs)が1月1日より開始された。

 このプロジェクトは、WindowsやLinux、Mac OS XといったさまざまなOSの脆弱性情報を公開する目的で2006年11月に行われた「カーネルバグ月間」(MoKB)に続くもので、LMHと名乗るセキュリティ研究者らが実施している(関連記事)

 開始から4日が経った現在、「QuicktimeのRTSP URLハンドラの脆弱性」「VLC Media Playerのフォーマットストリングの脆弱性」「QuicktimeのHREFTrackクロスゾーンスクリプティングの脆弱性」および「iPhotoのXMLタイトルフォーマットストリングの脆弱性」という4種類の問題が公開されている。いずれも、悪用されればリモートから任意のコードを実行される恐れがあるとプロジェクトは指摘している。

 Webサイトの情報によれば、プロジェクトの目的はユーザーのセキュリティへの関心を高め、アップルのマネジメント側のベストプラクティスを形成すること、そしてMac OS X向けのセキュリティ研究ツール/文書を開発すること。1カ月にわたり、毎日1件のペースで脆弱性情報を公開していくという。

 一方で、このプロジェクト開始を受け、Apple Computerでの勤務経験を持ち、Darwinの開発者の1人でもあるランドン・フラー氏が、非公式パッチの作成、公開に乗り出した。1月4日の時点で既に3つ目のパッチがリリースされている。ただしこれは、Apple Computerによるサポートがない非公式のパッチであり、適用は自己責任となる。

 フラー氏はWebサイトを通じて、サードパーティ製のツール「Application Enhancer」を用いた修正プログラムを公開している。同氏は、1日に1件のペースで公開される他の脆弱性についても、MOABの進捗を追いかける形で、パッチをリリースしていく意向を記している。

Copyright © ITmedia, Inc. All Rights Reserved.