最近見つかったBashの脆弱性「ShellShock」に対する修正パッチが、Appleからはいまだにリリースされていません(Linuxベンダは対応しているのですが)。
この件に関し、iMoreはAppleの広報担当から以下のような回答を受け取ったと報じています(MacRumors)。
The vast majority of OS X users are not at risk to recently reported bash vulnerabilities," an Apple spokesperson told iMore. "Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users.
コメントでAppleの後方担当者はまず「大部分のOS X ユーザーには最近報告されたbashの脆弱性のリスクはない」と安全性を強調。
次に「Bashは、OS Xに含まれるUNIXのコマンドシェルかつプログラミング言語で、権限のないユーザーがリモートから脆弱なシステムの制御を取得することのできる弱点を持っている。OS Xではシステムはデフォルトで安全で、ユーザーが高度なUNIXサービスを設定しない限りbashのリモート攻撃ににさらされることはない」と、ShellShockバグが高度なUNIXサービスを設定しているユーザーだけに影響すると指摘しています。
もちろん最後に「我々は高度なUNIXユーザー向けに早急にソフトウェア・アップデートを提供できるよう取り組んでいる」とソフトウェア・アップデートの約束も忘れていません。
高度なUNIXサービス?
「高度なUNIXサービス」の内容が具体的に説明されていませんが、今回見つかった「ShellShock」の内容から考えると、OS Xを不特定多数からアクセスできる状態にして、かつWebサーバーやsshサーバーを外部に公開する使い方を指しているのだと思います。
このようなエキスパートな使い方をしているユーザーは(エキスパートなので当然抜かりはないと思いますが)、ソフトウェア・アップデートが提供されるまで、自力でBashを修正版に置き換えるか、サービスの提供を中止するなどの対策をとったほうが良さそうです。
その他デスクトップとして普通の使い方をしているMacユーザーはApple広報担当によると安全ということになります。
