FAMLog

Appleから「Security Update 2007-009」が公開されています。

Security Update 2007-009は、Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1およびMac OS X Server v10.5.1向けに用意されており、下記のソフトウェアが更新対象となっています。

・CUPS、Flash Player Plug-in、Launch Services、Mail、Perl、Python、Ruby、Safari、Samba、Shockwave Plug-in（Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、Mac OS X Server v10.5.1）
・Address Book、ColorSync、Core Foundation、Desktop Services、GNU Tar、iChat、IO Storage Family、Safari RSS、SMB、Spotlight、tcpdump、XQuery（Mac OS X v10.4.11、Mac OS X Server v10.4.11）
・CFNetwork、Quick Look、Ruby on Rails、Software Update、Spin Tracer（Mac OS X Server v10.5.1、Mac OS X Server v10.5.1）

なお、このセキュリティアップデートにより、Adobe Flash Playerはバージョン9.0.115.0に、Mac OS X LeopardおよびMac OS X Server Leopardに付属のRuby on Railsはバージョン1.2.3から1.2.6にアップデートされます。

［関連］Security Update 2007-009 v1.1（Apple）

Appleから「Java Release 6 for Mac OS X 10.4」がリリースされています。

Java Release 6 for Mac OS X 10.4は、Mac OS X v10.4.10、Mac OS X v10.4.11、Mac OS X Server v10.4.10およびMac OS X Server v10.4.11において、Javaに関するセキュリティ上の各種問題を修正するものです。なお、今回修正されている問題は、Mac OS X Leopardではすでに修正されている、もしくは影響がないものであるとのことです。

このアップデートにより、J2SE 5.0はバージョン1.5.0_13に、Java 1.4はバージョン1.4.2_16に更新されます。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.3.1」が配布されています。

QuickTime 7.3.1では、RTSPの処理に関する危険な脆弱性や、QTL形式のファイルおよびFlashの処理において任意のコード実行を許してしまう脆弱性が修正されています。

対象となるOSは、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows VistaおよびWindows XP SP2です。

Mac OS X 10.5.1 UpdateおよびMac OS X Server 10.5.1 Updateにはセキュリティ脆弱性を修正するアップデートも含まれています。

Mac OS X v10.5.1およびMac OS X Server v10.5.1では、下記のソフトウェアが修正されています。

・Application Firewall（Mac OS X v10.5.1、Mac OS X Server v10.5.1）

なお、上記のApplication Firewallに関する問題はいずれもMac OS X v10.4やそれ以前のシステムには関係がありません。

Mac OS X v10.4.11およびMac OS X Server v10.4.11にはセキュリティ脆弱性を修正するアップデートも含まれています。また、バージョン10.3.9向けに「Security Update 2007-008」も同時に公開されています。

Mac OS X v10.4.11、Mac OS X Server v10.4.11、およびSecurity Update 2007-008では、下記のソフトウェアが修正されています。

・AppleRAID、BIND、CFNetwork、CoreFoundation、Flash Player Plug-in、NSURL（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4〜v10.4.10、Mac OS X Server v10.4〜v10.4.10）
・bzip2、CFFTP、CoreText、Kerberos、Kernel、Networking、NFS、remote_cmds、Safari、SecurityAgent、WebCore、WebKit（Mac OS X v10.4〜v10.4.10、Mac OS X Server v10.4〜v10.4.10）

なお、このアップデートにより、Flash Playerはバージョン9.0.47.0に、BINDはバージョン9.3.4-P1に、bzip2はバージョン1.0.4に更新されます。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.3」が配布されています。

QuickTime 7.3では、悪意のあるムービーファイルやPICTイメージ、QTVRムービーファイルを開くと任意のコード実行を許してしまう脆弱性や、QuickTime for Javaに関する脆弱性が修正されています。

対象となるOSは、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5（Leopard）、Windows VistaおよびWindows XP SP2です。

Appleから「Xcode 2.5 Developer Tools」が公開されています。

バージョン2.5では、GDB（GNUデバッガー）とWebObjectsに関するセキュリティ上の問題が修正されています。悪意を持って巧妙に作られたTektronix Hex Format（TekHex）形式のファイルをGDBで処理することで任意のコードが実行される恐れがあった問題、およびWebObjectsで権限のないローカルユーザーがシステム権限を取得できてしまう問題の2点に対処されています。

Xcode 2.5は、Mac OS X Tiger（バージョン10.4）およびMac OS X Leopard（バージョン10.5）で動作します。

なお、上記とは別に、Mac OS X Leopardで動作するXcode 3.0が、Leopardの発売と共に入手可能となっています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8g」が公開されています。

セキュリティ上の問題が2点修正されたOpenSSL 0.9.8fが今月公開されていましたが、バージョン0.9.8fではソースコードのバージョン表記に問題があったためにOpenSSHとの間で不具合が生じていました。バージョン0.9.8gではその問題が修正されています。

［関連］OpenSSL 0.9.8gリリース（ZDNet Japan）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 4.7」が公開されています。

OpenSSH 4.7にはセキュリティに関連する修正が1点含まれており、X11の転送で、信頼できないクッキーの生成に失敗する場合に、信頼できるクッキーをssh(1)が利用しないように修正されています。

機能追加や不具合の修正も行われており、UMAC-64（RFC 4418）というMACアルゴリズムが新たにサポートされいます。その他、新規にインストールされたsshdにおいて、SSH Protocol 2のみ有効となるように初期設定値が変更されています。

［参考］OpenSSH情報 - OpenSSH 4.7/4.7p1 リリース

Appleから、「Safari 3 Beta Update 3.0.3」が配布されています。

Safari 3 Beta Update 3.0.3では、Mac版ならびにWindows版Safari 3 Public Betaにおけるセキュリティ上の問題が4点ほど修正されています。

なお、Safari 3 Public Betaは、一定期間の試用を目的として使用許諾されるプレビュー版のソフトウェアであり、正式版ではないので利用には注意が必要です。