FAMLog

Mac OS X v10.4.6にはセキュリティ脆弱性を修正するアップデートも含まれていて、ファームウェアのセキュリティ脆弱性が修正されます。

IntelベースのMacにおいて、物理的にコンピューターにアクセスできる場合に、ファームウェアパスワードを迂回することができた問題（CVE-2006-0401）がバージョン10.4.6で修正されています。

Mac OS X v10.4.6は、システム環境設定のソフトウェア・アップデート、もしくはAppleのWebサイトから入手できます。

Appleから「Security Update 2006-002」がリリースされています。

Security Update 2006-002は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.5およびMac OS X Server v10.4.5向けのもので、下記のソフトウェアが主な更新対象となっています。

・CoreTypes、Mail、Safari、LaunchServices（Mac OS X v10.4.5、Mac OS X Server v10.4.5）

また、「Security Update 2006-001」を適用した際に、PHP 4.4.1でSquirrelMailが機能しなくなる問題や、rsyncコマンドで「--delete」コマンドラインオプションが機能しなくなる問題などが修正されています。

［関連］Security Update 2006-002 について（アップル）、Safari: Security Update 2006-002 v1.0 をインストール後に白紙アイコンになる（アップル）

（2006/03/20追記：Security Update 2006-002でSafariがアップデートされない場合がある問題に対処する「Security Update 2006-002 v1.1」がリリースされたことを受けて、関連リンクを追加しました。）

Appleから「Security Update 2006-001」がリリースされています。

Security Update 2006-001は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.5およびMac OS X Server v10.4.5向けのもので、下記のソフトウェアが更新対象となっています。

・Apache mod_php、automount、BOM、Directory Services、FileVault、IPSec、Safari、LaunchServices（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.5、Mac OS X Server v10.4.5）
・LibSystem、Mail、rsync、Syndication（Mac OS X v10.4.5、Mac OS X Server v10.4.5）
・Perl（Mac OS X v10.3.9、Mac OS X Server v10.3.9）

Apacheに関連する部分としては、複数のセキュリティ上の問題を修正するために、PHPがバージョン4.4.1に更新されています。

Mac OS X v10.4.5およびMac OS X Server v10.4.5にはセキュリティ脆弱性を修正するアップデートも含まれていて、カーネルのセキュリティ脆弱性が修正されます。

悪意あるローカルユーザーが、文書化されていないシステムコールを呼び出すことで、システムクラッシュを引き起こす可能性があった問題（CVE-2006-0382）がバージョン10.4.5で修正されており、今回の更新によりカーネルから該当するシステムコールが取り除かれています。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装である「OpenSSH 4.3」がリリースされています。

OpenSSH 4.3では、細工されたファイルをコピーした際に意図しないコマンドの実行を許可してしまうセキュリティ上の問題（CVE-2006-0225）が修正されています。

その他に、クライアント・サーバー間でレイヤー2もしくはレイヤー3でVPN環境を作成する実験的な機能が追加されています。

（参考）OpenSSH情報 - OpenSSH 4.3 リリース

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.0.4」が先週リリースされています。

QuickTime 7.0.4では、細工されたQTIF、TGA、TIFFおよびGIF形式の画像ファイルやメディアファイルにより、悪意ある任意のコード実行を許してしまう脆弱性が修正されています。

同時に、多数の不具合の修正、iLife ’06への対応およびH.264のパフォーマンス改良などが行われています。

Appleから「Security Update 2005-009」がリリースされています。

Security Update 2005-009は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.3およびMac OS X Server v10.4.3向けのもので、下記のソフトウェアが更新対象となっています。

・Apache mod_ssl、iodbcadmintool、OpenSSL、Safari、sudo（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.3、Mac OS X Server v10.4.3）
・CoreFoundation、curl、syslog（Mac OS X v10.4.3、Mac OS X Server v10.4.3）
・Apache 2、passwordserver（Mac OS X Server v10.3.9、Mac OS X Server v10.4.3）

Apacheに関連する部分としては、ApacheのSSLモジュールであるmod_sslはバージョン2.8.24に、OpenSSLはバージョン0.9.7iに更新され、さらにMac OS X ServerにオプションでインストールされているApache 2はバージョン2.0.55にアップデートされています。

［関連］mod_ssl 2.8.24 for Apache 1.3.33（FAMLog）、Apache HTTP Server 2.0.55（FAMLog）、OpenSSL 0.9.7i（FAMLog）

先月にリリースされた「QuickTime 7.0.3」では、セキュリティホールが修正されています。

バージョン7.0.3では、細工された動画ファイルやPICT形式の画像ファイルにより任意のコードが実行される脆弱性や、サービス妨害攻撃を引き起こされる脆弱性が修正されています。

Secuniaによると、今回のセキュリティホールは、Mac OS X版のQuickTime 6.5.2および7.0.1、Windows版のQuickTime 7（バージョン7.0.3は含まず）で確認されており、さらにそれ以前のバージョンも影響を受けるだろう、とのことです。

Mac OS X v10.4.3およびMac OS X Server v10.4.3にはセキュリティ脆弱性を修正するアップデートも含まれていて、Finder、ソフトウェア・アップデート、memberd、キーチェーンおよびカーネルのセキュリティ脆弱性が修正されます。

Finderの情報を見るウインドウで表示されるファイルとグループの所有権情報が特定の状況下で正しくない場合がある問題や、カーネルが利用するメモリー内にある重要なデータをローカルユーザーに漏洩してしまうことがある脆弱性などが修正されています。

カーネルの脆弱性についてはMac OS X v10.4.2およびそれ以前に影響がありますが、それ以外についてはMac OS X v10.4より前のシステムには影響がないとのことです。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.7i」がリリースされています。

先日リリースされたばかりのOpenSSL 0.9.7hには共有ライブラリをアップグレードした場合に処理の異常終了を引き起こす問題があり、OpenSSL 0.9.7iではこの問題が修正されています。

このため、バージョン0.9.7系列のOpenSSLを利用している場合には、OpenSSL 0.9.7iの適用が強く推奨されています。