みなさん、こんにちは。いまは週刊アスキーの吉田でございます。さて、本日Appleから緊急のセキュリティーアップデートがリリースされましたよ。「このアップデートをなるべく早くインストールしてください。」という異例のメッセージつきです。
 |
|---|
セキュリティーアップデートの内容はリンク先を参照という案内が出るのですが、22日15時現在では日本語のページには情報が載ってません。英語の該当ページを参照するとNTP(Network Time Protocol)のバグ修正であることがわかります。
 |
|---|
NTPというのは、パソコンなどの時刻を正確に保つために設けられているNTPサーバーとのデータのやり取りに使われるプロトコルのことです。Macでは、「システム環境設定」の「日付と時刻」にある「日付と時刻」タブで、「日付と時刻を自動的に設定」にチェックを入れている場合、選択しているNTPサーバー(ここではtime.apple.com)とNTPを使ってやり取りします。
 |
|---|
さて、このセキュリティーアップデート。具体的には、OS X Mountain Lion/Mavericks/Yosemite、それぞれの最新バージョンに対するもので、ネットワークに進入して悪意のあるコードを実行できる可能性がある問題を修正するとのこと。確保したバッファ(メモリー領域)を超えたデータを送り込む込むことでプログラムを暴走させる、いわゆるバッファーオーバーフローのセキュリティーホールを突くものです。
この緊急セキュリティーアップデートによって変わるのは、「ntpd」のバージョンです。Mountain Lionではntp-77.1.1、Mavericksではntp-88.1.1、Yosemite:ではntp-92.5.1にそれぞれバージョンアップされます。ntpdというのは、NTPサーバーに定期的にアクセスするためにOS Xのバックグラウンドで動作しているプログラム(デーモン)のことです。
自動インストールを許可する設定にしている場合、自分のマシンにセキュリティアップデートが適用されたかどうかをチェックするには、「ターミナル」アプリを起動してコマンドラインで「what /usr/sbin/ntpd」と入力すればOKです。表示されるntpdのバージョンが上記のものより古い場合は、「App Store」アプリを使ってセキュリティアップデートを適用しましょう。
 |
|---|
| アップデート適用前 |
 |
|---|
| アップデート適用後 |
なお、このアップデートは12月19日にUS CERTが発表したNTPの脆弱性についての指摘を反映したものだと思われます。US CERTというのは、米国国土安全保障省(DHS)傘下の情報セキュリティ対策組織です。
■関連リンク
Apple(About OS X NTP Security Update)
US-CERT(該当レポート)
週刊アスキーの最新情報を購読しよう
