Apple Watch Series 4 以降 影響:App がプライバシーの環境設定を回避する可能性がある。 説明:この問題は、エンタイトルメントを改善することで解決されました。 CVE-2023-32404:: Mickey Jin 氏 (@patch1t)、Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)、匿名の 研究 者 Siri 対象:Apple Watch Series 4 以降 影響:デバイスに物理的にアクセスできる人物が、ロック画面から連絡先情報を表示できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-32394:Khiem Tran 氏 SQLite 対象:Apple Watch Series 4 以降 影響:App がプライバシーの環境設定を回避する可能性がある。 説明:追加の SQLite ログ収集の制限を追加することで、この問題に対処しました。 CVE-2023-32422: Gergely Kalman 氏 (@gergely...
Ventura 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:一時ファイルの処理を改善することで、問題に対処しました。 CVE-2023-42896:Mickey Jin 氏 (@patch1t) 2024 年 3 月 22 日に追加 Automation 対象 OS:macOS Ventura 影響:アプリにルート権限を取得され、非公開の情報にアクセスされる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-42952:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09) 2024 年 2 月 16 日に追加 AVEVideoEncoder 対象 OS:macOS Ventura 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42884:匿名の 研究 者 CoreServices 対象 OS:macOS Ventura 影響:ユーザ...
Photos 対象 OS:macOS Ventura 影響:「シェイクで取り消し」で、削除された写真を認証なしで再表示できる場合がある。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2022-32943:Jiwon Park 氏、Mieszko Wawrzyniak 氏、匿名の 研究 者 2023 年 10 月 31 日に更新 ppp 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42840:匿名の 研究 者 Preferences 対象 OS:macOS Ventura 影響:アプリが任意のエンタイトルメントを使用できる可能性がある。 説明:ステート管理を改善し、ロジックの問題に対処しました。 CVE-2022-42855:Google Project Zero の Ivan Fratric 氏 Printing 対象 OS:macOS Ventura 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明:この問題...
iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:「シェイクで取り消し」で、削除された写真を認証なしで再表示できる場合がある。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2022-32943:Jiwon Park 氏、Mieszko Wawrzyniak 氏、匿名の 研究 者 2023 年 10 月 31 日に更新 ppp 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42840:匿名の 研究 者 Preferences 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降...
2023 年 3 月 27 日リリース Apple Neural Engine 対象 OS:macOS Big Sur 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-23540:Mohamed GHANNAM 氏 (@_simo36) AppleAVD 対象 OS:macOS Big Sur 影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2022-26702:匿名の 研究 者、Antonio Zekic 氏 (@antoniozekic)、John Aakerblom 氏 (@jaakerblom) AppleMobileFileIntegrity 対象 OS:macOS Big Sur 影響:ユーザがファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。 説明:チェックを強化することで、この問題に対処...
Zero の Ned Williamson 氏のご協力に感謝いたします。 libxpc 匿名の 研究 者のご協力に感謝いたします。 libxslt PK Security の Dohyun Lee 氏 (@l33d0hyun)、OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。 NSURL Zhanpeng Zhao 氏 (行之)、糖豆爸爸 氏 (@晴天组织) のご協力に感謝いたします。 Photos Dawid Pałuska 氏、Kirin 氏 (@Pwnrin) のご協力に感謝いたします。 Photos Storage SecuRing の Wojciech Reguła 氏 (wojciechregula.blog) のご協力に感謝いたします。 Power Services Mickey Jin 氏 (@patch1t) のご協力に感謝いたします。 Shortcuts Alfie CG 氏、Bundesamt für Sicherheit in der Informationstechnik の Christian...
jakederouin.com) のご協力に感謝いたします。 IOUserEthernet Certik Skyfall Team のご協力に感謝いたします。 2024 年 1 月 2 日に追加 Kernel The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏、永超 王氏のご協力に感謝いたします。 libxml2 OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。 libxpc 匿名の 研究 者のご協力に感謝いたします。 libxslt PK Security の Dohyun Lee 氏 (@l33d0hyun)、OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。 NSURL Zhanpeng Zhao 氏 (行之)、糖豆爸爸 氏 (@晴天组织) のご協力に感謝いたし...
2023 年 12 月 11 日リリース AVEVideoEncoder 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42884:匿名の 研究 者 ImageIO 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-42898:Qianxin の Pangu Team の Zhenjiang Zhao 氏、Junsung Lee 氏 CVE-2023-42899:Meysam Firouzi 氏 (@R00tkitSMM) および Junsung Lee 氏 2024 年 3 月 22 日に更新 Kernel 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがサンドボックスを破って外部で実行...
macOS Monterey 影響:アプリがユーザの許可を得ることなくキーストロークを監視できる可能性がある。 説明:ステート管理を改善し、認証の脆弱性に対処しました。 CVE-2023-42891:匿名の 研究 者 IOUSBDeviceFamily 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。 CVE-2023-42974:STAR Labs SG Pte. Ltd. の Pan ZhenPeng 氏 (@Peterpan0927) 2024 年 3 月 22 日に追加 Kernel 対象 OS:macOS Monterey 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-42914:Synacktiv (@Synacktiv) の Eloi Benoist-Vanderbeken 氏 (@elvanderb) Libsystem 対象 OS:macOS...
インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42884:匿名の 研究 者 Bluetooth 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:ネットワーク上の特権的な地位を悪用した攻撃者が、キーボードを偽装してキーストロークインジェクション攻撃をしかけることができる。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-45866:SkySafe の Marc Newlin 氏 2023 年 12 月 11 日に追加 Bluetooth...
VoiceOver Lakshmi Narain College Of Technology Bhopal India の Abhay Kailasia 氏 (@abhay_kailasia) のご協力に感謝いたします。 WebKit 匿名の 研究 者のご協力に感謝いたします。...
WebKit Gishan Don Ranasinghe 氏および匿名の 研究 者のご協力に感謝いたします。 2024 年 2 月 16 日に追加
VoiceOver Lakshmi Narain College Of Technology Bhopal India の Abhay Kailasia 氏 (@abhay_kailasia) のご協力に感謝いたします。 WebKit 匿名の 研究 者のご協力に感謝いたします。...
の 研究 者 AppleEvent 対象 OS:macOS Big Sur 影響:リモートの攻撃者により、App を突然終了されたり、任意のコードを実行されたりする可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2022-22630:Trend Micro Zero Day Initiative に協力する Jeremy Brown 氏 2023 年 6 月 8 日に追加 AppleGraphicsControl 対象 OS:macOS Big Sur 影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2022-26751:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi) AppleScript 対象 OS:macOS Big Sur 影響:悪意を持って作成された AppleScript バイナリを処理すると、アプリケーションが予期...
Security の Ye Zhang 氏 (@VAR10CK) 2023 年 12 月 21 日に追加 Foundation 対象 OS:macOS Monterey 影響:悪意を持って作成された plist を解析すると、アプリが予期せず終了したり、任意のコードが実行されたりする可能性がある。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-27937:匿名の 研究 者 ImageIO 対象 OS:macOS Monterey 影響:悪意を持って作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。 CVE-2023-27946:Mickey Jin 氏 (@patch1t) IOAcceleratorFamily 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処...
macOS Monterey 影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。 説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。 CVE-2022-32831:Baidu Security の Ye Zhang 氏 (@co0py_Cat) Archive Utility 対象 OS:macOS Monterey 影響:アーカイブが Gatekeeper を回避できる可能性がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2022-32910:Jamf Software の Ferdous Saljooki 氏 (@malwarezoo) 2022 年 10 月 4 日に追加 Audio 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-32820:匿名の 研究 者 Audio 対象 OS:macOS...
に対処しました。 WebKit Bugzilla:256567 CVE-2023-32439:匿名の 研究 者
Google Security Team の Felix Grobert 氏、TippingPoint の Zero Day Initiative に協力している匿名の 研究 者 ATS 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。 説明:SFNT テーブルの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。 CVE-ID CVE-2011-0177:Red Hat Security Response Team の Marc Schoenefeld 氏 bzip2 対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X...
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。ここでは、セキュリティアップデートや緊急セキュリティ対応など、最近のリリースを一覧にまとめています。 セキュリティ関連の問題についてテクニカルサポートが必要な場合は (たとえば、Apple ID のパスワードをリセットする、最近の App Store の課金内容を確認するなど)、こちらの記事を参照してください。 Apple の製品にセキュリティやプライバシーに関わる脆弱性を見つけた場合は、こちらの記事を参考に、 研究 内容をご報告ください。...
ID CVE-2014-1371:HP の Zero Day Initiative に協力する匿名の 研究 者 グラフィックドライバ 対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 〜 10.9.3 影響:ローカルユーザがカーネルメモリを読み込めるため、カーネルアドレス空間配置のランダム化を回避するために悪用される可能性がある。 説明:システムコールの処理に領域外読み込みの脆弱性がありました。この問題は、配列境界チェック機能を改善することで解決されました。 CVE-ID CVE-2014-1372:Google Project Zero の Ian Beer 氏 iBooks Commerce 対象 OS:OS X Mavericks 10.9 to 10.9.3 影響:システムにアクセス可能な攻撃者が Apple ID の資格情報を回収できる可能性がある。 説明:iBooks ログの処理に脆弱性がありました。iBooks プロセスが、システムのほかのユーザが参照できる iBooks ログ内に Apple ID の資格情報を記録...
することで解決されました。 
 CVE-ID 
 CVE-2014-1246:HP の Zero Day Initiative に協力する匿名の 研究 者 
 
 
 
 QuickTime 
 対象:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 および 10.9.1 
 影響:巧妙に細工されたムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。 
 説明:「dref」アトムの処理に、メモリ破損に関する問題...
X Lion v10.7 から v10.7.2、OS X Lion Server v10.7 から v10.7.2 
 影響:インターネット共有によって作成された Wi-Fi ネットワークによって、システムのアップデート後にセキュリティ設定が失われる可能性がある。 
 説明:OS X Lion 10.7.3 より前のバージョンにアップデートした後に、インターネット共有によって使用される Wi-Fi 設定が出荷時のデフォルト設定に戻り、WEP パスワードが無効になる可能性があります。この問題は、インターネット共有が有効になっていて、Wi-Fi への接続を共有しているシステムにのみ影響します。この問題は、システムのアップデート時に Wi-Fi 設定を維持することで解決されています。 
 CVE-ID 
 CVE-2011-3452:匿名の 研究 者 
 
 
 
 Libinfo 
 対象となるバージョン:OS X Lion v10.7 から v10...
OS X Lion v10.7.2 およびセキュリティアップデート 2011-006 のセキュリティコンテンツについて説明します。