みなさん、こんにちは。いまは週刊アスキーの吉田でございます。さて、本日Appleから緊急のセキュリティーアップデートがリリースされましたよ。「このアップデートをなるべく早くインストールしてください。」という異例のメッセージつきです。
 |
|---|
セキュリティーアップデートの内容はリンク先を参照という案内が出るのですが、22日15時現在では日本語のページには情報が載ってません。英語の該当ページを参照するとNTP(Network Time Protocol)のバグ修正であることがわかります。
 |
|---|
NTPというのは、パソコンなどの時刻を正確に保つために設けられているNTPサーバーとのデータのやり取りに使われるプロトコルのことです。Macでは、「システム環境設定」の「日付と時刻」にある「日付と時刻」タブで、「日付と時刻を自動的に設定」にチェックを入れている場合、選択しているNTPサーバー(ここではtime.apple.com)とNTPを使ってやり取りします。
 |
|---|
さて、このセキュリティーアップデート。具体的には、OS X Mountain Lion/Mavericks/Yosemite、それぞれの最新バージョンに対するもので、ネットワークに進入して悪意のあるコードを実行できる可能性がある問題を修正するとのこと。確保したバッファ(メモリー領域)を超えたデータを送り込む込むことでプログラムを暴走させる、いわゆるバッファーオーバーフローのセキュリティーホールを突くものです。
この緊急セキュリティーアップデートによって変わるのは、「ntpd」のバージョンです。Mountain Lionではntp-77.1.1、Mavericksではntp-88.1.1、Yosemite:ではntp-92.5.1にそれぞれバージョンアップされます。ntpdというのは、NTPサーバーに定期的にアクセスするためにOS Xのバックグラウンドで動作しているプログラム(デーモン)のことです。
自動インストールを許可する設定にしている場合、自分のマシンにセキュリティアップデートが適用されたかどうかをチェックするには、「ターミナル」アプリを起動してコマンドラインで「what /usr/sbin/ntpd」と入力すればOKです。表示されるntpdのバージョンが上記のものより古い場合は、「App Store」アプリを使ってセキュリティアップデートを適用しましょう。
 |
|---|
| アップデート適用前 |
 |
|---|
| アップデート適用後 |
なお、このアップデートは12月19日にUS CERTが発表したNTPの脆弱性についての指摘を反映したものだと思われます。US CERTというのは、米国国土安全保障省(DHS)傘下の情報セキュリティ対策組織です。
■関連リンク
Apple(About OS X NTP Security Update)
US-CERT(該当レポート)
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります