同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。
MalwarebytesでAppleのクライアントデバイス「Mac」およびモバイルデバイス分野の担当ディレクターを務めるトーマス・リード氏の説明によれば、AppleがクライアントOS「macOS Big Sur」における脆弱(ぜいじゃく)性「CVE-2021-30869」を修正してから約7カ月間、同社は以前のバージョンである「macOS Catalina」の同脆弱性を修正しなかった。CVE-2021-30869は、AppleのクライアントOS「macOS」が採用するカーネル(OSの中核プログラム)「XNU」の脆弱性だ。
2021年4月開催のセキュリティカンファレンス「Zer0con」では、セキュリティ研究者がCVE-2021-30869を詳細に解説した。「それにもかかわらず、パッチは未配布のままだった」とリード氏は説明。「攻撃者は攻撃活動を検出されることなく、macOS Catalinaを利用する人を狙うことができた」と問題を指摘する。
Appleは2021年2月にmacOS Big Surのバージョン11.2を公開した当初、CVE-2021-30869の修正をリリースノートに記載しなかった。CVE-2021-30869を修正したことをリリースノートに追記したのは、macOS Catalina向けのCVE-2021-30869修正パッチを公開した2021年9月だった。
こうしたAppleの行動に対して、リード氏は「非常に不審に思う」と述べる。その理由についてリード氏は、以下の2つの可能性を挙げる。
「macOS Catalinaの修正が遅れたことは、『macOSの最新バージョンの修正に関してのみAppleを信頼できる』ということだ」とリード氏は話す。2021年11月時点で、macOSの最新メジャーバージョンは「macOS Monterey」だ。「あなたが古いmacOSを使っている場合、それは自己責任ということになる」と同氏は指摘する。
Appleのセキュリティに関する動向は過去にもやり玉に挙げられた。米TechTargetがAppleに不満を抱える複数のバグハンター(脆弱性を探し出し、バグ報奨金プログラムに報告するセキュリティ研究者)に取材したところ、「Appleはコミュニケーションが不十分で、セキュリティ研究者を適切に評価していない」との批判があった。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
