Mac のセキュリティが注目 – MacBook Air のハッキング、Apple のパッチ適用時期

最新の Mac OS 10.5 Leopard がインストールされている MacBook Air が、先週の CanSecWest PWN2OWN コンテスト に 出品された最初のラップトップ となり、Mac のセキュリティに 再び スポットライトが当てられました。

このコンテストでは、MacBook Air と Vista ラップトップおよび Ubuntu Linux ラップトップが争われ、すべてパッチが完全に適用されました。賞金20,000ドル（＋ラップトップ）を賭けてベースOSへの攻撃のみが許可された初日には3台のラップトップすべてが落下しなかったが、カンファレンスのルールがすべてのOSを対象とするよう緩和された2日目には、MacBook Airはわずか2分で落下したと伝えられている- 賞金 10,000 ドルのバンドル ソフトウェア (+ ラップトップ)。

Apple がこの問題に取り組んでいる間、エクスプロイトの詳細は非公開ですが、この攻撃は、ユーザーが (規則で許可されているように) 特別に細工された Web サイトに誘導された後、Safari に対して行われました。このエクスプロイトは、Webkit の オーバーフロー バグ であると報告されています。

残りの 2 台のラップトップは 2 日目の残りを生き延びましたが、人気のあるサードパーティ アプリケーションの攻撃を許可するためにルールがさらに緩和されたため、Adobe Flash Player がインストール された翌日 、Vista ラップトップは落下しました。 Linux ラップトップは悪用されませんでした。

Apple はこの脆弱性を認識しており、それに取り組んでいますが、最近の調査では、 このようなゼロデイ脆弱性パッチに対する Apple の応答時間は Microsoft の応答時間よりも大幅に遅れている と主張されています。

スイス連邦工科大学が実施したこの調査では、Microsoft 製品に影響を与える 658 件の脆弱性、Apple に影響を与える 738 件の脆弱性が分析されました。国家脆弱性データベースによると、これらはすべて高リスクおよび中リスクでした。

「Apple は 2005 年以前は一貫して [公開時にパッチが適用されていない脆弱性] 20 件を下回っていました」と [研究者の Stefan Frei 氏] は述べています。 「それ以来、それらは非常に頻繁に上回っています。したがって、Apple と Microsoft を比較すると、パッチが適用されていない脆弱性の数は Apple の方が多いことになります。」 […]

「私たちは、Apple には初期の段階では脆弱性が少なかったと考えています。そして彼らは単に驚いたか、準備ができていないか、注意力が足りなかっただけだと思います」とフライ氏は述べた。 「Microsoft は以前からセキュリティ コミュニティと良好な関係を築いていたようです。」

過去数年間、Microsoft は研究者にソフトウェアの問題について警告するよう奨励するために、セキュリティ コミュニティとの緊密な関係を築こうと努めてきました。しかし、Apple はまだそのような関与をしていないようで、「我々の調査結果によれば、これは Apple に損害を与えている」とフライ氏は語った。

セキュリティ企業Secuniaの統計 を抜き打ちチェックしたところ、 2003年から2008年にかけてAppleのMac OS Xオペレーティングシステムで見つかった113件のバグのうち6％がパッチが適用されていないことが判明した。