賢人のかつて曰く、“何度かパッチが当てられるまでは、OS Xをアップグレードするなかれ。しかもそのときですら、セキュリティ以外にはアップグレードする価値はなし”。この言葉は名前がmacOSに変わる前だが、多くの人を啓蒙し、旧バージョンに留まる者が増えた。ただし最近ではそんな態度は、最新バージョンでは保護されているMeltdown脆弱性を抱えたままになってしまう。しかし運良くAppleは、SierraとEl Capitanをフィックスの仲間に加えた。
その最新のセキュリティアップデートは、あちこちでいくつかのランダムなエクスプロイトをフィックスしているが、なんといっても最大の売りは、SierraとEl Capitan MacのMeltdown脆弱性を確実に封じたことだ。これらのOSを使ってることは誰にも責められないが、アップグレードは早急にやるべきだ。
なぜか、MeltdownとSpectreの発見者の一人、Google Project Zeroの研究員Jann Hornの名が、このセキュリティアップデートの中で三回も登場している。
最初はMeltdownのフィックスに関してだから、予想の範囲内だ。しかしあとの二回は、最近報告された二つの新しい脆弱性、アクセスが制限されているメモリ番地を誰かに読まれてしまう、というのに関連している。
そのCVE-2018-4090とCVE-2018-4093はMITREに予約されて載っているが、まだ説明は何もない。MeltdownやSpectreほど深刻なやつではないし、ここにあるのは偶然かもしれない。しかし同様のフィックスがAppleのほかのプラットホーム(iOS, tvOS)にもあるから、macOSだけの問題でないことは確かだ。でも、Google Project Zeroが近くまた何かを発表しても驚かないように。
Safariの別のアップデートは、三つの最新OSすべてにあるのとは無関係なエクスプロイトをフィックスしているが、二週間前のSpectreのフィックスには当然ながらGoogle Project Zeroのクレジットがある。
