iWorksアップデータ:2005-05-26

アップル製のプレゼンテーションソフト(Keynote2)とワープロソフト(Pages)に、アップデータが出ている。私はユーザーなので、ソフトウエアアップデート経由で適用。

Keynote アップデート 2.0.2
Keynote 2.0.2 は安全性の問題を改善します。このアップデートの詳細な情報については、次のWeb サイトを参照してください: http://www.info.apple.com/kbnum/n61798-ja
Pages アップデート 1.0.2
Pages 1.0.2 はページの操作性と構成に関する問題を改善します。

おのおの、21.9MBと28.7MB。

Keynoteの問題点は、セキュリティホールmemo2005-05-26に既に紹介されていて、以下の通り。

  • Keynote 2 / 2.0.1 に欠陥。細工した Keynote プレゼンテーションと keynote: URI ハンドラの利用により、local file を読み取って任意のネットワーク地点に送ることが可能。CVE: CAN-2005-1408
  • Keynote 2.0.2 で修正されている。Keynote 2.0.2 では、外部リソースの参照が制限され、keynote: URIハンドラは削除された。

とのことです。

このアップデータを見つけたのが、2005-05-26で、一旦取り下げられていた模様。二日後、2005-05-28に再びソフトウエアアップデートのリストに復活している。アップルのウエブページに、脆弱性に関する記載がある。

これによると、

利用可能なバージョン
Keynote 2, Keynote 2.0.1
影響
不正に改ざんされた Keynote プレゼンテーションが作成され、ローカルシステムからファイルが取得される可能性がある。
説明
特に意図的に作成された Keynote プレゼンテーションと、“keynote:” URI ハンドラを使用して、ローカルファイルが読み取られ、ネットワーク上の任意の場所に送信されてしまう可能性があります。
この問題は、外部のリソースへの参照を制限し、“keynote:”URI ハンドラの登録を削除することで対処しています。
この問題は、バージョン 2 以前の「Keynote」アプリケーションには影響しません。
この問題の報告についてはDavid Remahl 氏(www.remahl.se/david)の功績によるものです。

ちなみに、この文書の公開日は、2005-05-27となっている。