2007年1月1日に2人のセキュリティ研究者がApple Computer製品の脆弱性を公開する「Month of Apple Bugs」プロジェクトを開始する。

Robert McMillan氏がInfoWorldに寄せた記事に寄ると、このプロジェクトを推進するのはKevin Finisterre氏とLMHと名乗る人物だ。

公開が予定されている脆弱性は、Mac OS Xのカーネルのバグのほか、SafiriやiTunes、iPhoto、QuickTimeなどアプリケーションのバグも含む。その中のいくつは大きな危険を生む可能性もある脆弱性も含まれるという。また、アプリケーションのバグについては、Windowsにおいてもその影響を受ける可能性がある。

LMH氏は11月に「Month of Kernel Bugs」プロジェクトを実施した人物だ。

ここで同氏はWindowsやLinux、Mac OS X、FreeBSDなどの未発見の脆弱性を公開してきた。この指摘に対応して、11月末にはAppleもセキュリティアップデートを実施している。Month of Kernel Bugsでは多くの製品が取り上げられたが、新たに始まるMonth of Apple BugsはAppleだけを対象にしたものとなる。

セキュリティ研究者が脆弱性を発見したときは公表前にベンダへ通知するのが通例だが、LMH氏はAppleに脆弱性を事前通知を行わないつもりのようだ。この「おきて破り」のアプローチがAppleとそのユーザにどういった影響を与えるのか注目される。

このプロジェクトによって一時的にはMac OS Xを使うリスクが高くなるかもしれないが、長期的にはMac OS Xのセキュリティが強化されるかもしれない。LMH氏はベンダが脆弱性情報を告知することなく、「静かに」セキュリティフィックスを行うことをやめさせたいと考えている。

LMH氏はeWEEK.comの取材に対して

「開発者やベンダーが脆弱性の内容を公表しないままセキュリティアップデートを行うのは間違いである。実際はこっそり修正を加えることが攻撃者を助けることになる」