FAMLog

Appleから2004年9月14日にSecurity Update 2004-09-07 v1.1がリリースされました。Security Update 2004-09-07 v1.0で発生していた問題が修正され、同アップデートを更新したものとなっています。

Security Update 2004-09-07 v1.1では、v1.0に含まれていたlukemftpdでFTPサービスが利用不可となる問題が修正され、長いログイン名が再度利用できるようになっています。

また、Safariを別のブラウザーと間違って認識してしまうWebサイトとの互換性を提供するために、Safariのバージョン番号についても変更が加えられています。

AppleからSecurity Update 2004-09-07がリリースされました。以下のシステム用のセキュリティアップデートが提供されています。

・Mac OS X v10.3.5 "Panther"
・Mac OS X v10.3.4 "Panther"
・Mac OS X v10.2.8 "Jaguar"
・Mac OS X Server v10.3.5 "Panther"
・Mac OS X Server v10.3.4 "Panther"
・Mac OS X Server v10.2.8 "Jaguar"

今回はMac OS X v10.3.5がリリースされてからそれほど時間が経過していないことから、Mac OS X v10.3.4とMac OS X v10.3.5の両バージョンに対してセキュリティアップデートが用意されています。

Security Update 2004-09-07では下記のソフトウェアが更新されます。

・CoreFoundation
・IPSec
・Kerberos
・lukemftpd
・OpenSSH
・PPPDialer
・rsync
・Safari
・SquirrelMail
・tcpdump
・OpenLDAP（Mac OS X v10.3.x、Mac OS X Server v10.3.x）
・Apache 2（Mac OS X Server v10.2.8/v10.3.4/v10.3.5）
・QuickTime Streaming Server（Mac OS X Server v10.2.8/v10.3.4/v10.3.5）

Mac OS X ServerにインストールされているApache 2はApache 2.0.50にアップデートされます。OpenSSHでは、OpenSSH 3.4以前に存在した、悪意あるsshサーバーによってローカルファイルを破壊される可能性がある脆弱性が修正されます。

Mac OS X v10.3.5にはセキュリティ脆弱性を修正するアップデートが含まれていて、libpngとSafariおよびTCP/IP Networkingにおける実装上の問題が修正されます。

Safariでは前へ／次へボタンを使用する移動によってフォームデータが再送信される場合がある問題、TCP/IP Networkingでは悪意を持って組み立てられたIPフラグメントでシステムリソースを過多に使用可能であることにより通常のネットワークオペレーションが妨害される問題に対処されています。libpngについてはSecurity Update 2004-08-09と同じ内容です。

10.3.5アップデートは、システム環境設定のソフトウェア・アップデートもしくはAppleのWebサイトから入手することができます。

AppleからSecurity Update 2004-08-09がリリースされました。Mac OS X (Server) v10.3.4、Mac OS X (Server) v10.2.8用のセキュリティアップデートが用意されています。

このセキュリティアップデートではlibpng（Portable Network Graphics）がアップデートされており、悪意あるPNG形式の画像がアプリケーションをクラッシュさせて任意のコードが実行される可能性がある問題に対処されています。なお、Mac OS X 10.3.5 Updateにはこの修正内容が含まれています。

libpngはMac OS XのCoreGraphicsおよびAppKitフレームワークで使われていて、これらのフレームワークを利用してPNG画像を使用するアプリケーションに影響するものです。

AppleからSecurity Update 2004-06-07がリリースされました。Mac OS X (Server) v10.3.4、Mac OS X (Server) v10.2.8用のセキュリティアップデートが用意されています。

このアップデートは一連のURIハンドラの問題に対処したものであり、LaunchServices、DiskImageMounter、Terminalが更新され、v10.3.4用のアップデートでは上記に加えてSafariも更新されます。

書類を開いたり、URLをクリックしたりすることによって、ある特定のアプリケーションが初めて起動する場合に、起動してよいかどうかの意思確認を求めるダイアログが表示されるようになるそうです。また、Safariの「Finder に表示」ボタンは常にFinderウインドウでファイルを表示するようになり、ファイルを開かないようになっています。

Mac OS X v10.3.4にはセキュリティ脆弱性を修正するアップデートが含まれています。

v10.3.4でNFS、LoginWindow、Packaging、TCP/IP、AppleFileServerおよびTerminalにおける実装上の問題が修正されます。

10.3.4アップデートは、システム環境設定のソフトウェア・アップデートもしくはAppleのWebサイトから入手することができます。

AppleからSecurity Update 2004-05-24がリリースされました。Mac OS X (Server) v10.3.3、Mac OS X (Server) v10.2.8用のセキュリティアップデートが用意されています。

Web閲覧中に悪意のあるページにより任意のスクリプトが実行されてしまうHelp Viewerアプリケーションの脆弱性（CAN-2004-0486）が修正されています。

10.2.8用のセキュリティアップデートでは上記と同種の脆弱性（CAN-2004-0485）が修正されTerminalが更新されていますが、10.3.3用のセキュリティアップデートにはこの更新内容が含まれていません。

RCDefaultAppを利用して、「help」「disk」「disks」「telnet」のURIハンドラを無効にしておいた方がよさそうです。

AppleからSecurity Update 2004-05-03がリリースされました。Mac OS X v10.3.3、Mac OS X Server v10.3.3、Mac OS X v10.2.8およびMac OS X Server v10.2.8用のセキュリティアップデートが用意されています。

それぞれCoreFoundation、AFP Server、IPSecの脆弱性が修正されており、さらにMac OS X Server v10.3.3ではApache 2が、Mac OS X Server v10.2.8ではApache 2およびRemote Adminが修正されています。Security Update 2004-04-05での修正箇所も今回のセキュリティアップデートに含まれています。

Apache 2についてはバージョンが2.0.49にアップデートされて、CAN-2003-0020、CAN-2004-0113およびCAN-2004-0174の脆弱性が修正されています。

iTunes 4.5のリリースにあわせてQuickTime 6.5.1が入手可能になりましたが、このバージョンのQuickTimeではセキュリティホールが修正されています。

Appleのセキュリティ勧告によると、不正な形式の.mov（ムービー）ファイルがQuickTimeを終了させる可能性があるというCAN-2004-0431の問題を修正しているそうです。

上記の問題を発見したeEye Digital Securityによると、このセキュリティホールにはファイルを開くと悪意のあるコードが実行される可能性もあるそうですが、Appleのセキュリティ勧告ではこの点には触れられていません。