グーグル(Google)が2年前にゼロデイセキュリティホールに特化した研究チームProject Zeroを設立していた。
macOSとiOSのカーネルレベルに致命的なゼロデイ脆弱性
そして最近、このチームがAppleのデスクトップ・ノートデバイス用OSの”macOS(OS X)”及びモバイルデバイス用OS”iOS”のカーネルレベルに致命的なセキュリティホールを発見していたことが判明した。しかもそのセキュリティホールでは、OSを最新にしていないと攻撃者のアカウント権限がアップグレードされ、ルート権限までとられてしまうというほどのものだったという。
Appleは公開まで60日の猶予を要求、結局Googleも9月21日まで待つことに
今年6月、Project Zeroチームのメンバー、Ian Beer氏がAppleにこのセキュリティホールについて報告していた。Appleからはそれに対し、Project Zeroがそのセキュリティホールを公開する前に60日の猶予が欲しい、その間に解決するから、という回答があったという。Googleは当初その要求を拒絶していたが、最終的にはそのセキュリティホールを公開する日付のリミットを9月21日に設定することに同意した。
Appleは期限までに問題を解決できず、5ヶ月でようやく修正
しかしこの9月21日のリミットまでに、Appleがユーザに向けて提供したパッチではこのセキュリティホールを塞ぐには至らなかった。そしてAppleは最終的に5ヶ月もかかってこの問題を解決したのだった。というのも、先週リリースされたmacOS Sierra 10.12.1及び先々週リリースされたiOS 10.1において、システムのカーネルレベルで修復がようやく行われたのだ。
9月20日、期限ぎりぎりにAppleはmacOS Sierra 10.12の”緊急パッチ”をアップデートした。Appleによればこの緊急アップデートで問題の影響を和らげることができると考えたが、実際は完全にこの問題を解決することはできていなかった。10月3日、AppleはmacOS Sierra 10.12 1 beta 3で更に有効な修正案を盛り込み、そしてこの修正案が一般向けにリリースされたのは先週、ということになったようだ。
macOSやiOSなどは特別な事情でもない限り最新版にしておくべき
いずれにせよ、脱獄や特定のソフトウェア・アプリケーションが動かないなどの特殊な事情がない限り、やはりmacOS(OS X)及びiOSは最新版にしておいた方がよさそうだ。古いOSのまま使うことは、一般には知らされることが殆どない危険性に満ちあふれているからだ。
記事は以上。
(記事情報元:The Register)