Apple、多数の脆弱性に対応した『Mac OS X v10.6.3』をリリース

Apple は3月29日、OS 製品『Mac OS X』の脆弱性に対応する大規模なアップデートを行ない、最新版『Mac OS X v10.6.3』をリリースするとともに、旧版『Mac OS X v10.5.8』のアップデートも公開した。

今回対応した脆弱性には、情報漏洩やサービス不能化 (DoS) 攻撃を招きかねないものからクロスサイト スクリプティング (XSS) 攻撃のおそれがあるものまで、さまざまな深刻度のものが含まれている。セキュリティ企業 Secunia は、今回のセキュリティ更新全体を「極めて重要」と位置付けている。

Mac OS X のセキュリティ修正リスト全体を見ると、Mac OS X のデスクトップ版とサーバー版の両方が含まれている。今回のセキュリティ リリースで最も害のなさそうなものの1つは、Mac OS X v10.5.8 に存在するスペルチェックの脆弱性に由来するセキュリティ脆弱性の修正だ。

この脆弱性について、Apple のセキュリティ勧告では次のように説明されている。「『Cocoa』アプリケーションが利用しているスペルチェック機能にバッファ オーバーフローの脆弱性が存在する。悪意を持って作成された文書をスペルチェックすると、アプリケーションが予期せず終了したり任意のコードが実行されたりするおそれがある」

また、オーディオ関連でもセキュリティ攻撃を招きかねない複数の脆弱性が存在していた。Mac OS X のオーディオ機能『CoreAudio』に存在していた脆弱性だが、『Mac OS X v10.6.2』に対する2件の更新により修正されている。Apple によれば、悪意を持って作成された音声ファイルを再生するだけで、ユーザーのコンピュータ上で任意のコードを実行される可能性があったという。

さらに、Apple の動画再生エンジン『CoreMedia』とそれを利用したメディアプレイヤー『QuickTime』に脆弱性が存在していたため、Mac ユーザーが動画ファイルを再生した場合にセキュリティ リスクのおそれがあった。CoreMedia が『H.263』でエンコードされたムービーファイルを処理する方法にバッファ オーバーフローが発生するという問題があったが、今回これが修正された。

Apple は QuickTime について、Mac OS X v10.6.2 の更新の一部として9件の個別セキュリティ勧告を公開した。QuickTime では、『H.263』『H.261』『H.264』『Sorenson』『MPEG』『FLC』『FlashPix』『M-JPEG』『RLE』など、多くのエンコード形式に処理エラーがあったが、それらの脆弱性に対する修正パッチがリリースされている。