Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Apple、「bash」の脆弱性「ShellShock」に対応する修正パッチを公開

デフォルトシェルとして広く採用されている「bash」に、深刻な脆弱性「ShellShock」が見つかった問題で、Appleは、同脆弱性を解消するアップデートを公開した。現状、自動更新には対応していない模様だ。

20140930_ap_001.jpg
Mac OS X向けに用意されたbashのアップデート

脆弱性を解消するため、「OS X Mavericks 10.9.5」および「同Mountain Lion 10.8.5」「同Lion 10.7.5」向けにアップデートを用意したもの。現段階では、同社ウェブサイトからのダウンロードによる提供のみで、「ソフトウェア・アップデート」経由の配布は行われていない模様だ。また詳細について同社のセキュリティアップデートページを参照するよう記載があるが、同ページの内容も更新されていない。

問題とされる「ShellShock」は、「bash」の環境変数経由でコマンド実行が可能となる脆弱性。シェルをCGIやプログラム経由で利用するウェブサーバのほか、クライアントOSがルータからIPアドレスを取得する際に利用するDHCP経由の攻撃も可能で、実証コードも公開されている。こうした状況を受けて、一部セキュリティ専門家が「Mac OS X」にも大きな影響を及ぼすことを示唆していた。

一方指摘を受けたAppleでは、複数メディアの取材に対してコメントを発表。Mac OS Xに脆弱性が含まれていることを認めつつも、高度なUNIXサービスを構成せず、デフォルトで利用していれば攻撃を受けないと説明。大多数のユーザーは脆弱性の影響を受けないと反論していた。

(Security NEXT - 2014/09/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Foxit PDF Reader」の警告画面に問題 - 悪用する攻撃も
開発環境狙うサプライチェーン攻撃、「Codecov」が標的に
狙われるZyxel製ネットワーク管理製品の脆弱性 - ボットネットも標的に
EOLのマルウェア侵入対策製品がボットネットの標的に
「我々のシステムは既にセキュリティアップデートを行っている」 - 「偽ヨドバシカメラ」からのメールに注意
既知の「Cisco ASA」脆弱性狙う攻撃が急増 - 休み前に対策を
特定ルーター狙う攻撃が8割以上 - 「ThinkPHP」も標的に
家庭向けIoT機器狙う攻撃、国内発信元は3.5万件超で増加傾向
8月は家庭向けIoT機器への攻撃が増加 - メキシコ発の攻撃増に起因
2015年上半期はプロキシへの探索行為が増加 - ウェブアプリや制御システムも標的