Appleが昨日リリースしたNTPDの脆弱性「CVE-2014-9295」を修正するセキュリティアップデート「OS X NTP Security Update」に対しMac OS Xとして初の自動アップデートを適用したとReutersが報じています。詳細は以下から。
ReutersやArs Technicaの記事によると、Appleの広報担当Bill Evansは「Appleは月曜にNTPDの脆弱性を修正するアップデートを提供し、更に自動アップデートの配信をした。この更新はシームレスでMacの再起動を必要としない」とReutersの取材に対し回答したそうです。
Apple Inc has pushed out its first-ever automated security update to Macintosh computers to help defend against newly identified bugs that security researchers have warned could enable hackers to gain remote control of machines.
The company pushed out the software on Monday to fix critical security vulnerabilities in a component of its OS X operating system called the network time protocol, or NTP, according to Apple spokesman Bill Evans.NTP is used for synchronizing clocks on computer systems.
[…]
“The update is seamless,” he said. “It doesn’t even require a restart.”
[Apple pushes first ever automated security update to Mac users – Reuters]
Appleの自動アップデートは2年前に導入さていたそうですが、今まで使用されたことがなく、Evans曰く「今回の深刻なNTPD脆弱性からユーザーを保護するためにこの機能を使用することを決めた」ということで、
The company decided to deliver the NTP bug fixes with its technology for automatically pushing out security updates, which Apple introduced two years ago but had never previously used, because it wanted to protect customers as quickly as possible due to the severity of the vulnerabilities, Evans said.
Ars Technicaもこの機能はSnow Leopardから導入されたMalware対策用の小さなデータベース”XProtect“の更新には使用されていたが、特定のアップデートに適用されるのは初めてだとしています。
While this was the first time this particular auto-update function has been used, Apple also automatically updates a small database of malware definitions on all Macs that keeps users from installing known-bad software. That feature, dubbed “XProtect,” was introduced in Snow Leopard in response to the Mac Defender malware and has since expanded to include several dozen items.
[Apple automatically patches Macs to fix severe NTP security flaw – Ars Technica]
おまけ
この自動アップデートが適用された背景には「AppleのNTPサーバー”time.apple.com”がなりすましにあったのではないか?」という*推測*も出ていますが(それではないと今回の自動アップデートを実施した理由がないようなので)、定かではありません。
I’m guessing this NTP vulnerability could be triggered by spoofing http://t.co/6RT4kPMVUx? Only reason I can see for auto-update.
Craig Hockenberry@chockenberry
I think @tapbot_paul has it right: the ntpd process is also a client, so if http://t.co/MvtGbbdlJr is spoofed, your Mac is vulnerable.
追記
自動アップデートは通知センターに表示されていると思いますが、更新のチェックをしたい場合、ターミナルを開いて以下のコマンドを実行し、OS X 10.8 Mountain Lionは”ntp-77.1.1″、10.9 Mavericksは”ntp-88.1.1″、10.10 Yosemiteは”ntp-92.5.1″となっていれば修正されています。(Apple)
what /usr/sbin/ntpd
関連リンク:
コメント
AppleのNTP鯖が踏み台にされたんならAppleも焦るわな。
Macのほぼ100%が自動時間帯設定でタイムサーバーtime.apple.comやtime.asia.apple.com使ってるだろうからね。
Ntp脆弱性はUDPしか必要ないからね、どこから攻撃されたかわからない分たちが悪い
自動アプデートってどこで確認できるの?
これApp Storeのアップデートログに残らないのが仕様なのかな?
完了通知された後にアップデートのページ開いてもインストールされたアップデートの欄に表示されないんだけど
そう? 手動でアプデしたけど履歴に残ってるぞ
俺もログに残ってないな
ターミナルで見るかぎり更新はされてるようだが