米国 Apple は Mac OS X に対する今年2度目のメジャーアップデートを実施した。バージョン10.8.4となるこのアップデートでは、セキュリティー対応に主眼が置かれており、55の脆弱性を修正している。3月にリリースされた10.8.3 で修正された脆弱性の数は、21だった。

Apple、Mac OS X 10.8.4 をリリース ― 脆弱性の修正にフォーカス
修正数がもっとも多かったのは、オープンソースの OpenSSL パッケージ。少なくとも12の脆弱性が修正されている。修正された脆弱性には、2012年9月に発見された CRIME SSL 攻撃に関するものが含まれる。CRIME SSL 攻撃は、SSL コンテンツの暗号化を解除可能にしうるもの。2011年9月に報告された BEAST SSL 攻撃の後継と呼ばれているものだ。

Apple のアドバイザリーには次のようにある。

「圧縮を有効にした場合の TLS 1.0 の保護機能には既知の脆弱性があった。この問題は、OpenSSL の圧縮を無効にすることで対処されている」

SMB ネットワークプロトコルにも深刻な脆弱性が存在したが、これも10.8.4 で修正されている。SMB は、異機種混合ネットワークで、ファイル共有を可能にする。

「SMB 共有が有効になっているとき、認証ユーザーが共有ディレクトリの外からファイルを書き込めることがあった。この問題は、アクセスコントロールを向上させることで、対応されている」

10.8.4 はその他、QuickTime の複数の脆弱性にも対応している。この脆弱性は、任意のコードを実行する映画や音楽ファイルを通じて、悪意のある攻撃を可能にしうるものだった。

Safari

Apple は今回のアップデートで Safari をバージョン6.0.5 にアップデートし、26の脆弱性を修復している。このうち23は、WebKit レンダリングエンジンでのメモリコラプションに関連したものだ。

「WebKit に複数のメモリコラプションの問題が存在していた。これらの問題は、メモリの取り扱い方法を向上させることで修正されている」

WebKit メモリコラプションの問題については、その大半が Google Chrome Security チームによって報告されてきた。これまで、Safari と Chrome はどちらも WebKit エンジンを採用していたからだ。

だがこの状況は変化しつつある。Google は WebKit を捨て、独自の Blink エンジンへと移行を開始している。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。