多数の脆弱性を修正した「Security Update 2006-007」が公開
Apple は米国時間の 28日、Mac OS X の脆弱性を修正する 22本のパッチを含む「Security Update 2006-007」を公開した。Mac OS X 10.3.9、同 10.4.8 (PPC & Intel) に対応。AirMac のパッチでは AirMac ワイヤレスドライバに関するヒープバッファオーバーフローの脆弱性に対処。この問題を突かれると至近距離にいる攻撃者が悪用目的で作成したデータ要素をプローブ応答として送信し、オーバーフローを誘発できてしまう。影響を受けるのは AirMac カードを装備した eMac、iBook、iMac、PowerBook G3、PowerBook G4、Power Mac G4 で、AirMac Extreme カードを装備した Mac に影響はない。
また、Apple Type Services サーバ関連では3件の問題に対処。このうちフォント処理に関連した脆弱性では、細工を施した不正なフォントファイルを使ってスタックバッファオーバーフローを引き起こし、システムをクラッシュさせたり、システム権限を使って恣意的なコードを実行することが可能になるという問題を修正する。
このほか、CFNetwork、Finder、Sanba などに関連した多数の脆弱性が修正されている。
すべてのユーザの方に「Security Update 2006-007」の適用を推奨します。このアップデートでは、次のコンポーネントでの信頼性とキュリティの強化が行われます。
AirMac
ATS
CFNetwork
Finder
Font Book
Font Importer
Installer
OpenSSL
PHP
PPP
Samba
Security Framework
VPN
WebKit
gnuzip
perl
Security Update 2006-007 のセキュリティコンテンツについて
Security Update 2006-007 (10.4.8 Client PPC)
Security Update 2006-007 (10.4.8 Client Intel)
Security Update 2006-007 (10.3.9 Client)
なお、このほかにも Mac OS X 関連の脆弱性がいくつか報告されているが、比較的危険度が高いとされている AppleDiskImageController の脆弱性などは今回のアップデートに盛り込まれていないので、引き続き注意が必要だ。