Apple の Web サーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その功績を称えるため、Apple ではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた 方 のお名前を追記します。...
macOS Sonoma のアップデートを適用すると、Mac の安定性、パフォーマンス、対応性が向上します。macOS Sonoma をご利用のすべての 方 に適用をおすすめします。
ステート管理を改善し、ロジックの問題に対処しました。 CVE-2023-42861:匿名の研究者、凯 王 氏、Steven Maser 氏、Matthew McLean 氏、Brandon Chesser、CPU IT, inc、Concentrix の Avalon IT Team Maps 対象 OS:macOS Ventura 影響:アプリが機微な位置情報を読み取れる可能性がある。 説明:検証を強化して、パスの処理における脆弱性に対処しました。 CVE-2024-27810:Fudan University の LFY@secsys 氏 2024 年 6 月 10 日に追加 Messages 対象 OS:macOS Ventura 影響:悪意を 持っ て作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-27800:Daniel Zajork 氏および Joshua Zajork 氏 2024 年 6 月 10 日に追加 Metal 対象 OS:macOS Ventura 影響:悪意...
氏 (@t0rr3sp3dr0) Kernel 対象 OS:macOS Sonoma 影響:アプリが機微なユーザデータにアクセスできる可能性がある。 説明:検証を追加することで、競合状態に対処しました。 CVE-2024-23235 Kernel 対象 OS:macOS Sonoma 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象 OS:macOS Sonoma 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 libarchive 対象 OS:macOS Sonoma 影響:悪意を 持っ て作成された ZIP アーカイブに Gatekeeper のチェックを回避される可能性がある。 説明...
Apple Vision Pro の装着方法、外し 方 、適切な位置調整とフィット感を得る方法について説明します。
University の Benny Pinkas 教授 (Prof.)、Hebrew University の Amit Klein 教授 (Prof.) および EP 2024 年 7 月 29 日に追加 Maps 対象 OS:macOS Monterey 影響:アプリが機微な位置情報を読み取れる可能性がある。 説明:検証を強化して、パスの処理における脆弱性に対処しました。 CVE-2024-27810:Fudan University の LFY@secsys 氏 2024 年 6 月 10 日に追加 Messages 対象 OS:macOS Monterey 影響:悪意を 持っ て作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-27800:Daniel Zajork 氏および Joshua Zajork 氏 2024 年 6 月 10 日に追加 Metal 対象 OS:macOS Monterey 影響:悪意を 持っ て作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意...
し、バッファオーバーフローの脆弱性に対処しました。 CVE-2024-23286:Trend Micro Zero Day Initiative に取り組んでいる Junsung Lee 氏、CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏、Dohyun Lee 氏 (@l33d0hyun)、および Lyutoon 氏と Mr.R 氏 2024 年 3 月 7 日に追加、2024 年 5 月 29 日に更新 Kernel 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明...
Lab の Xinru Chi 氏 Kernel 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 libxpc 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2024-23278:匿名の研究者 libxpc 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-0258:ali yabuz 氏 MediaRemote 対象...
と Mr.R 氏 2024 年 5 月 31 日に更新 Kernel 対象:Apple Watch Series 4 以降 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:検証を追加することで、競合状態に対処しました。 CVE-2024-23235 Kernel 対象:Apple Watch Series 4 以降 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象:Apple Watch Series 4 以降 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 libxpc 対象:Apple Watch Series 4 以降 影響:アプリがサンドボックスを破って外部...
Kernel 対象:Apple Vision Pro 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象:Apple Vision Pro 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 Metal 対象:Apple Vision Pro 影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。 説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。 CVE-2024-23264:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm) Persona 対象:Apple Vision Pro 影響...
2024 年 3 月 7 日リリース Safari Private Browsing 対象:macOS Monterey および macOS Ventura 影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2024-23273:Matej Rabzelj 氏 WebKit 対象:macOS Monterey および macOS Ventura 影響:悪意のある Web サイトに、オーディオデータをクロスオリジンで取得される可能性がある。 説明:UI の処理を改善することで、この問題を解決しました。 WebKit Bugzilla:263795 CVE-2024-23254:James Lee 氏 (@Windowsrcer) WebKit 対象:macOS Monterey および macOS Ventura 影響:悪意を 持っ て作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。 説明:検証を強化し、ロジックの脆弱性に対処...
世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23257:Trend Micro Zero Day Initiative に協力する Junsung Lee 氏 2024 年 3 月 7 日に追加 Kernel 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 Kernel 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ...
Apple Vision Pro は乗り物酔いを軽減するように設計されていますが、特定の体験で乗り物酔いを感じる 方 もごく少数ですがいらっしゃいます。
2022 年 10 月 24 日リリース Accelerate Framework 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:悪意を 持っ て作成された画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を強化し、メモリ消費の脆弱性に対処しました。 CVE-2022-42795:ryuzaki 氏 APFS 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:アクセス制限を改善し、アクセス関連の脆弱性...
は、脆弱なコードを削除することで解決されました。 CVE-2023-27931:Mickey Jin 氏 (@patch1t) AppleScript 対象 OS:macOS Ventura 影響:悪意を 持っ て作成された AppleScript バイナリを処理すると、アプリが予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-28179:Mickey Jin 氏 (@patch1t) 2023 年 8 月 1 日に追加 App Store 対象 OS:macOS Ventura 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-42830:Adam M. 氏 2023 年 12 月 21 日に追加、2024 年 7 月 16 日に更新 Archive Utility 対象 OS:macOS Ventura 影響:アーカイブが Gatekeeper を回避できる可能性...
2023-42919:Kirin 氏 (@Pwnrin) AppleEvent 対象 OS:macOS Sonoma 影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42894:Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab) AppleGraphicsControl 対象 OS:macOS Sonoma 影響:悪意を 持っ て作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。 説明:入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。 CVE-2023-42901:Google Project Zero の Ivan Fratric 氏 CVE-2023-42902:Google Project Zero の Ivan Fratric 氏、Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi...
2024 年 3 月 12 日リリース GarageBand 対象:macOS Ventura および macOS Sonoma 影響:悪意を 持っ て作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2024-23300:Marc Schoenefeld Dr. rer. nat. (理学博士)...
Kernel 対象 OS:macOS Monterey 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象 OS:macOS Monterey 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 libxpc 対象 OS:macOS Monterey 影響:アプリからサービス運用妨害を受ける可能性がある。 説明:制限を強化し、アクセス権の問題に対処しました。 CVE-2024-23201:FFRI Security, Inc. の Koh M. Nakagawa 氏、匿名の研究者 MediaRemote 対象 OS:macOS Monterey 影響:アプリがユーザの機微データにアクセスできる可能性...
macOS Ventura 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象 OS:macOS Ventura 影響:任意のカーネル読み書き権限を 持つ 攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 libxpc 対象 OS:macOS Ventura 影響:アプリからサービス運用妨害を受ける可能性がある。 説明:制限を強化し、アクセス権の問題に対処しました。 CVE-2024-23201:FFRI Security, Inc. の Koh M. Nakagawa 氏、匿名の研究者 libxpc 対象 OS:macOS Ventura 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:チェックを強化...
iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2023-27931:Mickey Jin 氏 (@patch1t) Calendar 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を 持っ て作成されたカレンダーの出席依頼を読み込むと、ユーザ情報を密かに抽出される可能性がある。 説明:入力のサニタイズ処理を改善することで、複数の検証不備の脆弱性に対処しました。 CVE-2023-27961:Rıza Sabuncu 氏 (@rizasabuncu) Camera 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad...
Jin 氏 (@jinmo123) 2023 年 3 月 16 日に追加 iCloud Photo Library 対象 OS:macOS Ventura 影響:共有シートを介して位置情報メタデータが無効になっていても、位置情報データが iCloud のリンクで共有される場合がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2022-46710:Tinrocket の John Balestrieri 氏 2023 年 10 月 31 日に追加 ImageIO 対象 OS:macOS Ventura 影響:悪意を 持っ て作成されたファイルを処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-46693:Mickey Jin 氏 (@patch1t) IOHIDFamily 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。 CVE-2022-42864...
Apple TV 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2022-32909:Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2023 年 12 月 21 日に追加 Audio 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を 持っ て作成されたオーディオファイルを解析すると、ユーザ情報が漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42798:Trend Micro Zero Day Initiative に協力する匿名者 2022 年 10 月 27 日...
42898:Qianxin の Pangu Team の Zhenjiang Zhao 氏、Junsung Lee 氏 CVE-2023-42899:Meysam Firouzi 氏 (@R00tkitSMM) および Junsung Lee 氏 2024 年 3 月 22 日に更新 ImageIO 対象:Apple Watch Series 4 以降 影響:悪意を 持っ て作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-42888:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi) 2024 年 1 月 22 日に追加 Kernel 対象:Apple Watch Series 4 以降 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-42914:Synacktiv (@Synacktiv) の Eloi Benoist...
以降、iPad mini (第 5 世代) 以降 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-42898:Qianxin の Pangu Team の Zhenjiang Zhao 氏、Junsung Lee 氏 CVE-2023-42899:Meysam Firouzi 氏 (@R00tkitSMM) および Junsung Lee 氏 2024 年 3 月 22 日に更新 ImageIO 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を 持っ て作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-42888:Trend Micro...
2022 年 7 月 20 日リリース AMD 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2022-42858:ABC Research s.r.o. 2023 年 5 月 11 日に追加 APFS 対象 OS:macOS Monterey 影響:ルート権限を 持つ アプリが、カーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-32832:Tommy Muir 氏 (@Muirey03) AppleAVD 対象 OS:macOS Monterey 影響:リモートユーザによってカーネルコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。 CVE-2022-32788:Google Project Zero の Natalie Silvanovich 氏 2022 年 9 月 16 日に追加...
ATS 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:悪意を 持っ て作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。 説明:OpenType フォントの処理で、ヒープバッファのオーバーフローが発生する可能性があります。このため、悪意を 持っ て作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。 CVE-ID CVE-2011-0174 ATS 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:悪意を 持っ て作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。 説明:TrueType フォントの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を 持っ て作成されたフォントが埋め込まれている文書を表示...
世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2023-40413:Adam M 氏 ImageIO 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40416:JZ 氏 ImageIO 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を 持っ て作成された画像を処理すると、ヒープ破損が起きる可能性がある。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2023...
16 日に追加 ImageIO 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40416:JZ 氏 ImageIO 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を 持っ て作成された画像を処理すると、ヒープ破損が起きる可能性がある。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2023-42848...