パスワードを忘れた? アカウント作成
15838177 story
MacOSX

最新版以外の macOS では既知の脆弱性がすべて修正されるとは限らない 44

ストーリー by headless
修正 部門より
Apple がサポート記事「Appleプラットフォーム導入」について、英語版の複数の地域向け記事 (例: アジア向け英語版) を更新し、以前のバージョンの macOS では既知の脆弱性がすべて修正されるとは限らないと明記した (Ars Technica の記事The Register の記事)。

記事ではソフトウェアの更新を、機能や外観などに大幅な変更があり、メジャーバージョン番号が変わる「アップグレード」と、脆弱性の修正を主として比較的頻繁に提供され、マイナーバージョン番号のみが変わる「アップデート」に分類。ユーザーは新しいメジャーバージョンがリリースされた際にアップグレードするか、アップデートを続けるかの選択が可能だが、新しいバージョンの macOS で変更されたアーキテクチャーやシステムの依存性により、以前のバージョンへのアップデートでは既知のセキュリティ上の問題がすべて修正されるとは限らないとのこと。

Intel のグラフィックスドライバーの脆弱性 CVE-2022-226743 月に macOS Monterey で修正されたが、旧バージョンの macOS Catalina / Big Sur で修正されたのは 5 月だった。今回ドキュメントに明記されたことで、サポートされるバージョンであっても既知の脆弱性が修正されないケースが出てくるだろうか。なお、記事は日本語版など英語版以外の言語版では更新されておらず、対応する記述は存在しないようだ。また、英語版でも英国向けなどの記事は更新されていない。
  • by Anonymous Coward on 2022年10月30日 19時42分 (#4352358)

    updateとupgradeをきちんと区別してるのはAppleだけか。
    仕様を変更すればそれはupgradeになる。
    仕様変更によって脆弱性を修正したものはupdateでは適用しないということか。

    ここに返信
    • by Anonymous Coward

      区別していないのは誰?

  • by Anonymous Coward on 2022年10月30日 17時45分 (#4352333)

    LTSって無いの?
    どこまで行っても個人向け?

    ここに返信
    • by Anonymous Coward

      ないけど、WindowsやLinuxのLTSだと今回のようなケース(既知のセキュリティ上の問題)はメジャーバージョンアップなしに全て解決されるものなの?

      • by Anonymous Coward

        される
        というかメジャーアップデートや、機能追加一切無しで不具合修正や、セキュリティアップデートのみやるのがLTS

        • by Anonymous Coward

          Ubuntuの場合、メジャーアップデートじゃないけど、機能追加や仕様変更あるので、LTSとは?って気になることもあるけど。

          • by Anonymous Coward

            個々のパッケージについてはメンテナ頼りだからな。

        • by Anonymous Coward

          さすがに「全て解決される」なんて回答されるとはねぇ、どこまでMSやオープンソースプロジェクトを信じてるの?
          「無駄な仕様追加をしない」のがLTSの利点でありセールスポイントであって、それ以上でもそれ以下でもない
          セキュリティアップデートがあろうが規格や仕様に起因するような脆弱性は直らないし、不具合修正も全てに対応するものではないんだよ
          「LTS」のイメージに踊らされてるだけでしょ

    • by Anonymous Coward

      モデレーターが粗ぶってるようですが…

      iOSなら長期サポートで安心なんだけどね。
      macOSはなぁ…。古いアプリ引っ張り出して使おうとすると詰んでることあるし。
      仕事には使いにくいというか、常に最新版を使い続ける職種じゃないと使えないですね。

      俺らプログラマだと今時WindowsXP引っ張り出してビルドしなきゃいけないケースとかあるからね。
      LTSとは違うけど。
      macOSでは似たようなこと、つまり古いOSを仮想環境とかに入れて一時的に使うってできるんかな…。

      • by Anonymous Coward

        iOSは長期サポートするのに
        macOSはしないのって何故なんだろう?
        市場シェアの問題?

        確かにiOSはビジネスの現場に浸透しまくってるから
        macOSのノリでやられたらかなわんとは思う。

        • by 90 (35300) on 2022年10月31日 12時45分 (#4352554) 日記

          うーん、メジャー更新が出ない端末にもパッチが出る、という意味では長期ですけど、どっちみち"現在"しかサポートされてないですよ。共通する考え方としては、客が使ってるサブスクが動けばよいし、動かねばならない、という感じでは。

      • by Anonymous Coward

        端末に対するOSのサポートならiOSもmacOSも似たようなもんですよ。
        アプリがどこまで古いOSをサポートするかは、そりゃもう完全にOSではなくアプリ側の問題であって
        iOSでもサポート対象はiOS14.x~15.x以上とかは普通にある。

    • by Anonymous Coward

      そんなものなくてもiPadはガンガン業務に採用されてるのになんでわざわざコストを掛ける必要あるの? 世間の人々はLINEを平然と仕事に使うんですよ

  • by Anonymous Coward on 2022年10月30日 18時26分 (#4352341)

    VPNの不具合なんかまさにそれ [appleinsider.com]
    そしてもう気づいているのではないのか。毎年買い替えこそがアップデートだというかつてのシャープみたいな理念が利益になると。

    ここに返信
    • by Anonymous Coward

      Mojaveまで問題なく使えていたBluetoothのヘッドセットがCatalina以降で何故か使えなくなった。
      (このヘッドセットはWindowsやAndroidでは使えているからMacOS側の何かしらのバグだと思う。)

      • by Anonymous Coward

        BT周り駄目になってるのかね・・・
        うちもiPadでいつの間にかBTキーボードが入力受け付けなくなって
        故障なのかiPadOSの不具合なのか判断できなくて困ってる
        一旦接続削除して再接続してやると認識するから故障とは思えないし
        OSを入れ直しても駄目だったので諦めてる

        • by Anonymous Coward

          純正使うのが互換性では安心かな。
          まぁ、打ち心地や価格の面で選んでるんだろうけど。

    • by Anonymous Coward

      VPN通信におけるAppleへの通信と継続セッションの通信の暗号化経路バイパス、及びWi-Fiのスリープ時の切断問題(SIMなしだとSIP着信とか出来ない奴)はもはや不具合ではなく仕様変更としてサードパーティやユーザーは扱うべきかと。
      通信の継続性とバッテリー消費を天秤にかけたら、分からなくもない。
      WindowsでもVPNクライアントによっては同じような動きするので、別段驚きもしない。Linuxは知らん。

      あと、記事に書いてある通りAndroidもGoogleサービスはVPNをバイパスするので、もはやこの仕様は業界標準なのかなと。
      Windowsのインターネット通信確認の延長線上に存在しているようなイメージ。

  • by Anonymous Coward on 2022年10月30日 18時40分 (#4352348)

    過去のバージョンサポートしてたらきりがないよね

    ここに返信
    • by Anonymous Coward

      だから普通は、製品のサポートがいつまでっていうのを明らかにし、それに合わせた調達を計画して行うんだ。

    • by Anonymous Coward

      AppleはmacOSのサポート期限を公表してない。
      (7年程度、なのかな https://discussionsjapan.apple.com/thread/252725385 [apple.com])

      サポート打ち切りをいきなり宣言するなら、それまでの間は直してくれ。

  • by Anonymous Coward on 2022年10月30日 19時50分 (#4352360)

    最新版ですら修正される保証なし

    ここに返信
  • by Anonymous Coward on 2022年10月30日 21時37分 (#4352390)

    なにこれ?

    ここに返信
  • by Anonymous Coward on 2022年10月31日 12時04分 (#4352531)

    ライトユーザーワイ、アップデートもアップグレードも無料なのもあって
    新しいのが出たらさっさと更新してしまうから最新版しか対応してないとしても困らない

    ここに返信
    • by Anonymous Coward

      まあ、普通どういうアップグレードが出るかはメーカーから事前に計画が発表されて、受け入れる側もそれに対応すべく検証を重ねるんだよね。
      ではAppleはどうかというと、毎年の秋頃にリリースすると発表して、きちんと10回以上のβ版を出してる。
      で、アップグレードが出たら2つ以上前のOSバージョンはサポート終了になる。

      だから計画的にやってれば本来は困らないはずだけど、ビジネスでは困る、LTS版がない、切り捨てが多いだの文句を言う。
      5年前までに出たハードウェアとOSは利用終了して新しいものに切り替えられていれば問題ないのに、自分たちのところの環境では出来てないから文句を押し付けるんだよ。

      • by Anonymous Coward

        ビジネス用途ではいろんな要求があって、その中の一つにセキュリティアップデートは提供してほしいが機能追加も含む仕様変更はやらんでくれってのがあって、そういう連中はAppleの想定ユーザじゃないってだけの話だよ。
        あんまり攻撃的になりなさんな。

  • by Anonymous Coward on 2022年11月04日 9時40分 (#4354684)

    今回のセキュリティアップデートで、macOS Venturaしか記載がない、vimはmacOS Big Sur, Montereyでも更新された。
    https://support.apple.com/ja-jp/HT213488 [apple.com]
    一方、LibreSSLは脆弱性情報が公開され修正されたにも関わらず、macOS Bigu SurでもMontereyでもVenturaでもアップデート無し。

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...