2024 年 3 月 21 日リリース CoreMedia 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2024-1580:Google Project Zero の Nick Galloway 氏 WebRTC 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2024-1580:Google Project Zero の Nick Galloway 氏...
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに 一覧 形式でまとめています。 Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。 セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。...
iOS 16. 1 および iPadOS 16 のセキュリティコンテンツについて説明します。
Xcode 15. 3 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに 一覧 形式でまとめています。 Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。 セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。...
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに 一覧 形式でまとめています。 Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。 セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。...
23296 Sandbox 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリが重要なユーザ情報を漏洩させる可能性がある。 説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。 CVE-2024-23239:Mickey Jin 氏 (@patch 1 t) Sandbox 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2024-23290:SecuRing の Wojciech Regula 氏 (wojciechregula.blog) Siri 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:物理的なアクセスが可能な攻撃者が、Siri を使って機微なユーザデータにアクセスできる可能性がある。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2024-23293:Bistrit Dahal 氏 Spotlight 対象...
visionOS 1 . 1 のセキュリティコンテンツについて説明します。
Series 4 以降 影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23296 Sandbox 対象:Apple Watch Series 4 以降 影響:アプリが重要なユーザ情報を漏洩させる可能性がある。 説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。 CVE-2024-23239:Mickey Jin 氏 (@patch 1 t) Sandbox 対象:Apple Watch Series 4 以降 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2024-23290:SecuRing の Wojciech Regula 氏 (wojciechregula.blog) Share Sheet 対象:Apple Watch Series 4 以降 影響:アプリがユーザの機微データにアクセスできる可能...
および Apple TV 4K (すべてのモデル) 影響:Web コンテンツを処理すると、機微情報が漏洩する可能性がある。Apple では、iOS 16.7. 1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:入力検証を強化することで、領域外読み込みに対処しました。 WebKit Bugzilla:265041 CVE-2023-42916:Google の Threat Analysis Group の Clément Lecigne 氏 WebKit 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7. 1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 WebKit Bugzilla:265067 CVE-2023-42917:Google の Threat...
42898:Qianxin の Pangu Team の Zhenjiang Zhao 氏、Junsung Lee 氏 CVE-2023-42899:Meysam Firouzi 氏 (@R00tkitSMM) および Junsung Lee 氏 2024 年 3 月 22 日に更新 ImageIO 対象:Apple Watch Series 4 以降 影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-42888:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi) 2024 年 1 月 22 日に追加 Kernel 対象:Apple Watch Series 4 以降 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-42914:Synacktiv (@Synacktiv) の Eloi Benoist...
patch 1 t) 2023 年 12 月 22 日に追加 App Store 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある 説明:プロトコルの処理を改善することで、この問題に対処しました。 CVE-2023-40448:w0wbox 氏 AppleMobileFileIntegrity 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:アクセス権のチェックを追加で設ける...
Kostromin 氏 (0x 3 c 3 e) StorageKit 対象:Apple Watch Series 4 以降 影響:アプリが任意のファイルを読み取れる可能性がある。 説明:シンボリックリンクの検証を改善することで、この問題に対処しました。 CVE-2023-41968:Mickey Jin 氏 (@patch 1 t)、James Hutchins 氏 TCC 対象:Apple Watch Series 4 以降 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-40424:Arsenii Kostromin 氏 (0x 3 c 3 e)、Joshua Jewett 氏 (@JoshJewett33)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) WebKit 対象:Apple Watch Series 4 以降 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free...
Mac には、モデルを調べるためのツールがいくつかあります。一番簡単なのは、「この Mac について」です。画面の左上にある Apple メニュー から「この Mac について」を選択してください。もう 1 つは、システム情報アプリです。これらのツールを使って Mac のモデルを調べる方法については、こちらの記事を参照してください。 Mac が手元にない場合や、電源が入っていない場合は、以下のいずれかの方法で調べることができます。 Mac 底面の規格マーク近くに印字されているシリアル番号を調べます。購入当初の製品パッケージにも、バーコードラベルの横に記載されています。そのシリアル番号を「保証状況の確認」ページまたは「技術仕様」ページに入力して、モデルを調べることができます。 購入当初の製品パッケージには、Apple 部品番号も記載されています。たとえば、MLH12xx/A がその例ですが、“xx” の部分は可変値で、国や地域によって異なります。この Apple 部品番号を以下の 一覧 表の番号と照らし合わせて、モデルを調べることができます。...
影響:アプリが任意のファイルを読み取れる可能性がある。 説明:シンボリックリンクの検証を改善することで、この問題に対処しました。 CVE-2023-41968:Mickey Jin 氏 (@patch 1 t)、James Hutchins 氏 WebKit 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:チェックを強化することで、この問題に対処しました。 WebKit Bugzilla:256551 CVE-2023-41074:Cross Republic の 이준성 (Junsung Lee) 氏、HKUS 3 Lab の Jie Ding 氏 (@Lime) 2023 年 12 月 22 日に更新 WebKit 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 WebKit Bugzilla...
を強化することで、領域外読み込みに対処しました。 CVE-2023-32372:Trend Micro Zero Day Initiative に協力する Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年 9 月 5 日に更新 ImageIO 対象 OS:macOS Ventura 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。 CVE-2023-32384:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm) IOSurface 対象 OS:macOS Ventura 影響:アプリが重要なカーネル状態を漏洩させる可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32410: hou xuewei 氏 (@p 1 ay8y 3 ar) vmk msu...
しました。 CVE-2022-32890:Mickey Jin 氏 (@patch 1 t) Audio 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:アプリに昇格した権限を取得される可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2022-42796:Mickey Jin 氏 (@patch 1 t) 2023 年 3 月 16 日に更新 Audio 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:悪意を持って作成されたオーディオファイルを解析すると、ユーザ情報が漏洩...
Big Sur 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。 CVE-2023-28200:Arsenii Kostromin 氏 (0x 3 c 3 e) Kernel 対象 OS:macOS Big Sur 影響:アプリからサービス運用妨害を受ける可能性がある。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-28185:STAR Labs SG Pte. Ltd. の Pan ZhenPeng 氏 2023 年 12 月 21 日に追加 LaunchServices 対象 OS:macOS Big Sur 影響:アプリがルート権限を取得できる可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2023-23525:Mickey Jin 氏 (@patch 1 t) 2023 年 5 月 11 日に追加 libpthread 対象 OS:macOS Big Sur 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:チェックを強化...
macOS Ventura 13. 3 のセキュリティコンテンツについて説明します。
2023 年 3 月 27 日リリース Apple Neural Engine 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-23540:Mohamed GHANNAM 氏 (@_simo36) AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:ユーザがファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-23527:Mickey Jin 氏 (@patch 1 t) Archive Utility 対象 OS:macOS Monterey 影響:アーカイブが Gatekeeper を回避できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-27951:Red Canary の Brandon Dalton 氏 (@partyD0lphin)、Offensive...
設定を回避する可能性がある。 説明:ステート管理を改善し、ロジックの問題に対処しました。 CVE-2023-32407:Gergely Kalman 氏 (@gergely_kalman) Model I/O 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響: 3 D モデルを処理すると、プロセスメモリが漏洩する可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32368:Mickey Jin 氏 (@patch 1 t) NetworkExtension 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:App が重要な位置情報を読み取れる可能性がある。 説明:機密情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-32403:Adam M. 氏 2023 年 9 月 5 日に更新 NSURLSession 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:App がサンドボックスを破って外部で実行される可能性...
を改善することで解決されました。 CVE-2023-32428:Gergely Kalman 氏 (@gergely_kalman) 2023 年 9 月 5 日に追加 Metal 対象:Apple Watch Series 4 以降 影響:App がプライバシーの環境設定を回避する可能性がある。 説明:ステート管理を改善し、ロジックの問題に対処しました。 CVE-2023-32407:Gergely Kalman 氏 (@gergely_kalman) Model I/O 対象:Apple Watch Series 4 以降 影響: 3 D モデルを処理すると、プロセスメモリが漏洩する可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32368:Mickey Jin 氏 (@patch 1 t) NetworkExtension 対象:Apple Watch Series 4 以降 影響:App が重要な位置情報を読み取れる可能性がある。 説明:機密情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-32403:Adam M...
の保護された部分を変更されるおそれがある。 説明:この問題は、エンタイトルメントを改善することで解決されました。 CVE-2022-26727:Mickey Jin 氏 (@patch 1 t) Photo Booth 対象 OS:macOS Monterey 影響:アプリにルート権限を取得され、非公開の情報にアクセスされる可能性がある。 説明:Hardened Runtime を有効にして、この問題に対処しました。 CVE-2022-32782:SecuRing の Wojciech Reguła 氏 (@_r 3 ggi) 2022 年 7 月 6 日に追加 Preview 対象 OS:macOS Monterey 影響:プラグインがアプリケーションのアクセス権を継承し、ユーザデータにアクセスできる可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-26693: Wojciech Reguła 氏 (@_r 3 ggi) Printing 対象 OS:macOS Monterey 影響:悪意のあるアプリケーションがプライバシーの環境設定を回避する可能性...
macOS Ventura 13. 1 のセキュリティコンテンツについて説明します。
watchOS 8.8. 1 のセキュリティコンテンツについて説明します。
AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:Hardened Runtime を有効にして、この問題に対処しました。 CVE-2022-32880:SecuRing の Wojciech Reguła 氏 (@_r 3 ggi)、Trend Micro の Mickey Jin 氏 (@patch 1 t)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2022 年 9 月 16 日に追加 AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリがルート権限を取得できる可能性がある。 説明:ステート管理を改善し、認証の脆弱性に対処しました。 CVE-2022-32826:Trend Micro の Mickey Jin 氏 (@patch 1 t) Apple Neural Engine 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化...
対象 OS:macOS Big Sur 影響:App に、昇格した権限を取得される可能性がある。 説明:ステート管理を改善し、ロジックの問題に対処しました。 CVE-2022-32794:Mickey Jin 氏 (@patch 1 t) 2022 年 10 月 4 日に追加 PackageKit 対象 OS:macOS Big Sur 影響:悪意のあるアプリケーションに、ファイルシステムの保護された部分を変更されるおそれがある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2022-26712:Mickey Jin 氏 (@patch 1 t) Printing 対象 OS:macOS Big Sur 影響:悪意のあるアプリケーションがプライバシーの環境設定を回避する可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2022-26746:@gorelics 氏 Safari Private Browsing 対象 OS:macOS Big Sur 影響:Safari のプライベートブラウズモードで、悪意のある Web サイト...
証明書信頼ポリシー 対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 〜 10.9. 3 影響:証明書信頼ポリシーのアップデート 説明:証明書信頼ポリシーがアップデートされました。証明書の 一覧 は、こちらの記事でご確認ください。 copyfile 対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 〜 10.9. 3 影響:悪意を持って作成された zip ファイルを開くと、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。 説明:zip アーカイブ内の AppleDouble ファイルの処理において、領域外バイトスワップの脆弱性がありました。この問題は、配列境界チェック機能を改善することで解決されました。 CVE-ID CVE-2014-1370:iDefense VCP に協力...
ATS 
 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7. 1 、OS X Lion Server v10.7 および v10.7. 1 
 影響:ATSFontDeactivate API を使うアプリケーションが突然終了したり、任意のコードが実行される可能性がある。 
 説明:ATSFontDeactivate API にバッファオーバーフローの問題があります。 
 CVE-ID 
 CVE-2011-0230:Mozilla の Steven Michaud 氏 
 
 
 
 BIND 
 対象となるバージョン:OS X Lion v10.7 および v10.7. 1 、OS X Lion Server v10.7 および v10.7. 1 
 影響:BIND 9.7. 3 に複数の脆弱性がある。 &NewLine...
Apple では、プライバシーを基本的人権と考えています。Apple の製品はいずれも、個人情報を守るため、「誰と」「何を」共有するかお客様一人ひとりが選べるようにするため、 一 から作り上げられています。当社のすべての製品に、教育機関向けに作られた製品も含め、プライバシー機能や制御機能が組み込まれているのは、そのためです。Apple の製品は、データの収集や使用を制限し、極力デバイス上で処理を済ませ、情報の共有方法について透明性と管理機能を確保する仕様になっています。...