Apple Insiderによると、AppleはMac用のミュージックコンポーザーアプリのGarageBandの最新パッチをリリースした。この最新パッチではあるセキュリティ研究者が発見したセキュリティホールが修復されており、このセキュリティホールはハッカーに利用されると、GarageBandを通じてファイルを実行すると、悪意のあるコードを実行できてしまうようになるという。
最新のGarageBand 10.1.6では悪意のあるコードを実行される可能性のある脆弱性を修正
報道によると、AppleはGarageBandの最新バージョン10.1.6をリリースし、Cisco Talos社のセキュリティ研究者Tyler Bohanが発見したセキュリティホールを修復した。このセキュリティホールは「GarageBandのプロジェクトファイルによって任意のコードが実行される」と説明されている。またAppleはメモリ処理方式によってこの問題を解決したという。
アップデートしないと、「各チャンネルの長さを検証しない」という弱点を突かれる可能性も
Tyler Bohan氏は、この問題はGarageBand専用の.bandファイル形式の解析の際に発生することをつきとめた。このファイル形式はいくつかの属性の異なるチャンネルによって構成されており、その長さはユーザによってコントロールされているのだが、それぞれの部分の長さが定義範囲ないであるかどうかについて検証されることがなかった。
そして検証されることがないということは、悪意を持った攻撃者が任意のコードを.bandファイルに埋め込んでしまうと、GarageBandで開かれた際に、そのコードが自動的に実行されてしまうのだ。
重大性・緊急性はそれほどないが、アップデートしておくべき
ただ、このセキュリティホールは悪意のある攻撃者に利用されたことは殆どないとみられる。というのも、Tyler Bohan氏はAppleが最新バージョンでこのセキュリティホールにパッチを当ててから発表したほどのものだったからだ。
しかしGarageBandをお持ちの方で、バージョン10.1.6よりも前のバージョンを使っている人は、やはりセキュリティホールがあるまま使うのはよくないので、Mac App Storeで更新しておこう。なおGarageBand 10.1.6の容量は956MBで、OS X 10.10またはそれ以上のバージョンが必要となる。
記事は以上。
(記事情報元:Apple Insider)