既報の通り、1月1日、Apple Computerの製品の脆弱性を公開するプロジェクト「Month of Apple Bugs(MOAB)」がスタートした。このプロジェクトはKevin Finisterre氏とLMHと名乗る人物の2人が中心となって進めるもので、1カ月の間、毎日1つずつ脆弱性を公開していく。対象となるのはMac OS XやQuickTimeなどApple製品だけでなく、Mac OS X上で動作するアプリケーションの脆弱性も取り上げられるという。

すでに同プロジェクトのWebサイトでは複数の脆弱性について詳細な情報が公開されている。1月1日に報告された最初の脆弱性は、QuickTimeのRTSP(Real Time Streaming Protocol)のハンドリングに問題があり、URLに特定の文字列を含めるとバッファオーバーフローが発生して任意のコードを実行させることができるというもの。Webサイトには脆弱性を証明するサンプルコードも掲載されている。この現象はQuickTime 7.1.3で起きることが確認されているが、それ以前のバージョンでも発生する可能性がある。また、Mac OS X版だけでなく、Windows版にも同様の脆弱性がある。

ほかにも「VLC Media Playerのudpハンドリングに問題があり、リモートから任意のコードを実行させられる」「movファイルのHREFTrackを利用するとクロスサイトスクリプティング攻撃が可能になる」「iPhotoのXMLフィードの扱いに問題があり、リモートから任意のコードを実行させられる」といった脆弱性が公開されている。

Webサイトではプロジェクトの目的として「Appleやサードパーティのアプリケーションにが持つセキュリティの欠点を明らかにすることで、Mac OS Xの改善に役立てたい」と述べている。

Apple Computerはプロジェクトに対する正式なコメントは発表していない。だが、Apple Computerの社員としてOpenDarwinプロジェクトにも参加していたLandon Fuller氏は、自身のブログで脆弱性を解決する方法を公表している。また、同氏の呼びかけによってGoogle Groupsに「MOAB Fixes」というグループが開設され、脆弱性を修正するパッチが配布されている他、脆弱性に対する議論も行われている。