FAMLog

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.0.1」がリリースされています。

悪意を持って作られたQuartz Composerオブジェクトを含むQuickTimeムービーによってデータが漏洩するQuickTime 7.0の問題（CAN-2005-1334）が、バージョン7.0.1で修正されています。

QuickTime 7は現在Mac版だけ配布されていることもあり、上記の問題はWindows用QuickTimeでは発生しません。

アップルから、セキュリティ脆弱性の修正を含んだ「iTunes 4.8」が配布されています。

このバージョンでは、iTunesのバッファーオーバーフローにより、サービス拒否攻撃が引き起こされたり、任意のコードが実行される恐れがある問題（CAN-2005-1248）が修正されます。

iTunes 4.8は、Mac OS X v10.2.8以降、Microsoft Windows XPおよびWindows 2000向けのものが、アップルのWebサイトから無料でダウンロードできます。

AppleからSecurity Update 2005-005がリリースされています。

Security Update 2005-005は、Mac OS X v10.3.9およびMac OS X Server v10.3.9向けにリリースされたもので、下記のソフトウェアが更新されます。

・Apache、AppKit、AppleScript、Bluetooth、Directory Services、Finder、Foundation、Help Viewer、LDAP、libXpm、lukemftpd、sudo、Terminal、VPN（Mac OS X v10.3.9、Mac OS X Server v10.3.9）
・NetInfo、Server Admin（Mac OS X Server v10.3.9）

Apacheに関連する部分では、htdigestプログラムでバッファーオーバーフローが発生する問題（CAN-2005-1344）が修正されています。

AppleからSecurity Update 2005-004がリリースされています。

Security Update 2005-004では、iSync 1.5の補助ツールであるmRouterに含まれるバッファーオーバーフローによりローカルで権限昇格が発生する脆弱性（CAN-2005-0193）が修正されています。

iSync 1.5だけでなくiSync 1.4もこの脆弱性の影響を受けるため、iSync 1.5に更新した上でSecurity Update 2005-004を適用することが推奨されています。

AppleからSecurity Update 2005-002がリリースされています。

Security Update 2005-002はJava 1.4.2を利用しているMac OS X向けのアップデートで、信頼できないアプレットがより高い権限を入手して任意のコードを実行する可能性がある問題（CAN-2004-1029）を修正するために、Javaをアップデートしています。

なお、Mac OS X上でJava 1.4.2より前のリリースでは、上記の問題は発生しません。

Mod_python 3.1.4およびMod_python 2.7.11がリリースされています。これらのバージョンにはセキュリティ脆弱性の修正のみが含まれています。

Mod_pythonはApacheのモジュールであり、Apacheのサーバーサイド処理をPythonで記述できるようにするものです。Mod_python 3.1.4はApache 2.0のみに対応していて、Apache 1.3を利用している場合にはMod_python 2.7.11を使用することになります。

Mod_python 3.1.4および2.7.11では、Mod_pythonのPublisherハンドラが原因で細工されたURLにより非公開ファイルの漏洩を許してしまう脆弱性（CAN-2005-0088）が修正されています。Publisherハンドラを使用している場合には、なるべく早く新しいバージョンにアップデートする必要があります。

Apache HTTP Server 2.0.53がリリースされています。このバージョンにはApache 2.0系列における2点のセキュリティ脆弱性の修正が含まれています。

悪意あるユーザーが大量の空白文字が含まれたヘッダーを送信することでDoS攻撃を受けてしまう脆弱性（CAN-2004-0942）が、Apache 2.0.53で修正されています。このセキュリティ脆弱性はApache 2.0.52およびそれ以前のバージョンのApache 2.0に存在するものです。

もう1点は、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）が修正されています。この脆弱性はApache 2.0系列ではApache 2.0.35からApache 2.0.52までのmod_sslに存在したもので、Apache 1.3系列ではmod_ssl 2.8.20 for Apache 1.3.31ですでに修正されています。

Security Update 2004-12-02を適用することで、ファイルデータとリソースフォークのコンテンツが、通常のApacheファイルハンドラをバイパスしてHTTP経由で入手可能であった問題（CAN-2004-1084）が修正されます。

Apacheの設定ファイルでは下記の内容が追加されます。

<Files "rsrc">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

<DirectoryMatch ".*\.\.namedfork">
    Order allow,deny
    Deny from all
    Satisfy All
</DirectoryMatch>

この変更により、下記のファイルに対するアクセスを拒否するように修正されています。

・*/..namedfork/data
・*/..namedfork/rsrc
・*/rsrc
・rsrc

Security Update 2004-12-02を適用することで、Apacheで「.DS_Store」ファイルおよび「.ht」で始まるファイルに対するアクセスを完全にブロックしていなかった問題（CAN-2004-1083）が修正されます。

Apacheの設定ファイルでは下記のように変更されており、この変更により「.ht」または「.DS_S」からはじまるすべてのファイルに対するアクセスを、大文字を使っているかに関わらず、制限するように修正されています。

［変更前］
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

［変更後］
<Files ~ "^\.([Hh][Tt]|[Dd][Ss]_[Ss])">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Mac OS XのファイルシステムであるHFS+は通常のままではファイル名の大文字と小文字を区別しないため、Apacheのデフォルト設定ではURLの大文字小文字を意図的に変えることで非公開ファイルの閲覧が可能になってしまう場面があります。そのため、Mac OS XでApacheを動作させる場合には、上記のように設定を変更することが必須と言えます。

Appleから「iCal 1.5.4」がリリースされています。

iCal 1.5.4はMac OS X v10.2.3以降で利用可能で、セキュリティ上の問題（CAN-2004-1021）が修正されています。

iCalカレンダーはアラームによるイベント通知を含むことがあり、アラームによりプログラムを起動したりメールを送信することがあります。iCal 1.5.4では、アラームを含むカレンダーを読み込んだり開いたりしたときに、アラートを表示するように変更が施されています。