Macの素晴らしい点の一つは、AppleがMac OS Xに豊富な無料オープンソースツールを組み込んでいることです。このコレクションには、オペレーティングシステムの主要部分(Mac OS XのUnixコアの大部分)と、多数の追加アプリケーションやコンポーネントが含まれています。Windowsのファイル共有、印刷、そしてSafariでさえ、他のプラットフォームでも使用されているオープンソースツールをベースにしています。これは計り知れないメリットをもたらす一方で、セキュリティ面で潜在的なリスクも伴います。他のソフトウェアと同様に、これらのオープンソースコンポーネントにもセキュリティ上の脆弱性が時折存在しますが、Appleはそれらを管理していないため、コード修正を迅速に行うことができない、あるいはそもそも行うことができないのです。
この乖離は、他のプラットフォームで脆弱性が修正されているにもかかわらず、Appleが修正プログラムを提供しない場合、Mac(およびiPhone)に重大なセキュリティ問題を引き起こす可能性があります。Appleは、これらの脆弱性の一部を何ヶ月も修正せずに放置してきたという残念な歴史があり、5ヶ月前に発見されたJavaの脆弱性もその一例です。
研究者のランドン・フラー氏の報告によると、Mac OS XにはJavaの脆弱性があり、攻撃者がログインしたユーザーのアカウントで任意のコードを実行できる可能性があります。完全な管理者権限ほど深刻ではないかもしれませんが、それでも攻撃者はシステム上であらゆる種類の不正行為を実行する十分な権限を与えられてしまいます。
攻撃者は技術的にはJavaで書かれた悪意のあるプログラムをダウンロードさせて実行させることも可能ですが、悪意のあるWebサイトにアクセスさせ、ブラウザが「悪質な」Javaアプレットを自動的に実行することでシステムを乗っ取る方がはるかに簡単です。攻撃者は、信頼できるWebサイトにもこのようなプログラムを忍び込ませる方法を開発しているため、安全であることがわかっているサイトを利用するだけではセキュリティを確保できません。Landonは自身のサイトにデモ用のエクスプロイトを掲載しており、攻撃者がどのようにしてシステムを乗っ取るかを明確に示しています。
自分を守る最善の方法は、WebブラウザでJavaを無効にすることです。一部のWebサイトが動作しなくなりますが、Appleが修正プログラムを提供するまでは、これが唯一の方法です。
SafariでJavaを無効にするには、環境設定を開き、「ダウンロード後に安全なファイルを開く」を無効にします。次に、「セキュリティ」タブをクリックし、「Javaを有効にする」のチェックを外します。
FirefoxでJavaを無効にするには、「環境設定」を選択し、「コンテンツ」タブを選択します。Safariと同様に、「Javaを有効にする」のチェックを外します。
Apple がこれをすぐに修正し、他のプラットフォームですでに修正されているセキュリティ上の欠陥に対して Mac ユーザーが脆弱な状態にならないようにしてくれることを期待します。