「Shellshock問題」は、UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271」が確認され、Unix系OSに対して環境変数を使って脆弱性を突かれると環境変数に含まれる不正なコマンドを許可してしまう可能性があるというものです。AppleのOS XはUNIXをベースにしています。Appleは昨日、「Mac(OS X)ユーザーは、この新しく発見されたセキュリティの脆弱性の影響を受けない」とコメントしていました。
▶︎ 【Shellshock問題】Apple、「Macユーザーの圧倒的大多数は安全」とコメント
今回のアップデートは、OS X Mavericks、OS X Mountain Lion、OS X Lion向けにそれぞれリリースされています。
今回配布された「OS X bash Update 1.0」は、Shellshock問題「Bourne Again Shell(Bash)」の脆弱性を修正するものですが、判明している脆弱性を完全に修正したものではないようです。ブログサイト「Appleちゃんねる」さんによると、脆弱性については、判明している6つについてCVE番号が割り当てられていますが、今回配布された「OS X bash Update 1.0」はその内の5つに対処したものだとのことです。
| 内容 | 対応 | |
|---|---|---|
| CVE-2014-6271 | 任意のコマンドが実行される | 修正済 |
| CVE-2014-7169 | 任意のコマンドが実行される | 修正済 |
| CVE-2014-7186 | メモリリードエラー(破損)脆弱性 | 未対応 |
| CVE-2014-7187 | ループ内でのOff-by-oneエラー | 修正済 |
| CVE-2014-6277 | パーサーエラー | 修正済 |
| CVE-2014-6278 | パーサーエラー | 修正済 |
また、上記修正済みの中でも、MacRumors ForumやTwitterによると「CVE-2014-7187も修正されていない」という情報もあるようです。(「Appleちゃんねる」さん情報)
0 件のコメント :
コメントを投稿