AppleのWebサーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その 功績 を称えるため、Appleではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。...
AppleのWebサーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その 功績 を称えるため、Appleではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。...
説明:CFNetwork の URL の処理コードに、スタックオーバーフローが存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、メモリ処理を強化することによって解消されました。この問題の報告は TEHTRI-Security の Laurent OUDOT 氏の 功績 によるものです。...
説明:Application Sandbox はアプリケーションがユーザの写真ライブラリに直接アクセスすることを防げません。これにより、アプリケーションが、承認を得ずに、ユーザが訪れた場所を判断できる可能性があります。この問題は、ユーザの写真ライブラリに直接アクセスするのを防ぐように Application Sandbox を変更することにより解消されます。この問題の報告は Zac White 氏の 功績 によるものです。...
説明:ColorSync プロファイルが埋め込まれている画像の処理にヒープバッファオーバーフローの問題があります。悪意を持って作成された、ColorSync プロファイルが埋め込まれている画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、ColorSync プロファイルの検証を強化することで解決されています。この問題の報告は、Google Security Team の Chris Evans 氏、および Andrzej Dyjak 氏の 功績 によるものです。...
のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。 説明:信用できるルート証明書のリストに記載されている 2 つの認証局が、それぞれ独自に DigiCert Malaysia に中間証明書を発行しました。DigiCert Malaysia は、無効にできない強度の低い鍵を使用した証明書を発行します。特権のあるネットワークポジションの攻撃者が、DigiCert Malaysia によって発行された証明書を使用したサイト用のユーザの資格情報またはその他の機密情報を攻撃する場合があります。この問題は、DigiCert Malaysia の証明書を信用しないようデフォルトのシステム信頼設定を変更することで、解消されています。この問題の報告は、Entrust, Inc. の Bruce Morton 氏の 功績 によるものです。 dovecot 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8...
説明:CoreGraphics 内の色空間の処理にヒープバッファオーバーフローの脆弱性があります。悪意を持って作成された画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。 功績 :Apple...
説明:画像ファイルは、一度ダウンロードされるとユーザへの警告なしに Safari で表示される「安全な」ファイルタイプです。Safari の問題により、特定のローカルイメージのファイルタイプを識別できない場合があります。この場合、Safari はこれらのファイルの内容を確認し、HTML として処理する可能性があります。ファイルに JavaScript が含まれている場合は、ローカルコンテキスト内で実行されます。ダウンロードされたファイルでは、最初にユーザに確認することなく JavaScript が実行されるべきではありません。この問題は、不明なファイルタイプを一般的なバイナリデータとして処理し、この問題が確認されている画像ファイルタイプを正しく認識することで解決されています。この問題の報告は、Recurity Labs GmbH の Sergio 'shadown' Alvarez 氏の 功績 によるものです。...
説明:ICC プロファイルが埋め込まれている画像の処理時にバッファオーバーフローが発生する場合があります。ICC プロファイルが埋め込まれている、悪意を持って作成された画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、画像の ICC プロファイルの検証を強化することで問題が解消されています。 功績 :Apple...
説明:PICT 画像の処理時に、ヒープバッファオーバーフローが発生する問題があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、PICT 画像の検証を強化することで解消されました。Mac OS X v10.6 システムについては Mac OS X v10.6.2 で、Mac OS X v10.5 システムについてはセキュリティアップデート 2009-006 で、この問題が解決されています。この問題の報告は、VUPEN Vulnerability Research Team の Nicolas Joly 氏の 功績 によるものです。...
説明:QuickTime で RTSP URL を処理すると、ヒープバッファオーバーフローが発生することがあります。悪意を持って作成された RTSP URL にアクセスすると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、RTSP URL の検証を強化することで問題が解消されています。この問題の報告は、Attila Suszter 氏の 功績 によるものです。...
説明:QuickTime による H.264 ムービーファイルの処理にメモリ破損の脆弱性があります。悪意を持って作成された H.264 ムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Adobe Secure Software Engineering Team の Tom Ferris 氏の 功績 によるものです。...
説明:AAC または MP3 ファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された AAC または MP3 ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、trapkit.de の Tobias Klein 氏の 功績 によるものです。...
説明:カラープロファイルが埋め込まれている画像の処理で整数オーバーフローが発生し、ヒープバッファオーバーフローが引き起こされる可能性があります。カラープロファイルが埋め込まれている、悪意を持って作成された画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、カラープロファイルの検証を強化することで解決されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、VUPEN Vulnerability Research Team の Sebastien Renaud 氏の 功績 によるものです。...
し、スクリーンエフェクト機能からの復帰時にパスワードが必要な場合に、権限のないユーザがログインユーザのデスクトップにアクセスすることを可能にする潜在的な脆弱性を解決しました。この問題の報告は Denis Ahrens 氏の 功績 によるものです。...
説明:iTunes Digital Audio Access Protocol (DAAP) メッセージの処理で無限ループが発生します。悪意を持って作成された Content-Length パラメータを DAAP ヘッダに含むメッセージを送信すると、サービス運用妨害になる可能性があります。このアップデートでは、DAAP メッセージの検証を強化することで問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、Fortinet の FortiGuard Global Security Research Team の Xiaopeng Zhang 氏、Zhenhua Liu 氏、Junfeng Jia 氏の 功績 によるものです。...
説明:エイリアスファイルの処理においてバッファオーバーフローが存在します。悪意を持って作成されたエイリアスファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題は Mac OS X v10.6 システムでは発生しません。 功績 :Apple...
説明:Apple Type Services サーバでの PDF ファイル内の埋め込まれたフォントの処理で無限ループが発生する可能性があります。悪意を持って作成されたフォントが埋め込まれている PDF ファイルを表示またはダウンロードすると、サービス運用妨害を受ける可能性があります。このアップデートでは、埋め込みフォントの検証を強化することで、この問題が解消されています。この問題は Mac OS X v10.5 より前のシステムには発生しません。この問題の報告は、Futurice Ltd. の Michael Samarin 氏と Mikko Vihonen 氏の 功績 によるものです。...
説明:.pls ファイルを処理する際、バッファオーバーフローが発生します。悪意を持って作成された .pls ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、IP3 の Roger Hart 氏、および Oogli LLC の Steven Woolley 氏の 功績 によるものです。...
説明:AirMac 管理者は MAC アドレス ACL を指定することによってネットワークへのアクセスを制限することができますが、MAC アドレス ACL がネットワークエクステンダーに正しく伝達されないために、MAC アドレス ACL で制限されているはずのネットワークに承認されていないユーザがアクセスできる可能性があります。このアップデートでは、ネットワークエクステンダーへの設定の伝達を改善することにより、問題が解消されています。この問題の報告は、Guido Lamberty 氏の 功績 によるものです。...
説明:Xsan Admin アプリケーション経由の画面共有で、ユーザの名前とパスワードが記載されたエラーダイアログが表示されることがあります。ユーザのディスプレイを見ることができる人なら、そのユーザの認証情報をクリアテキストで見ることができます。この問題は、接続 URL に認証情報を埋め込まないようにすることで解消されています。この問題は Xsan Admin のみで発生し、Xsan Filesystem では発生しません。この問題の報告は、Kadimac Corp Macintosh Integrators の Ben Greisler 氏の 功績 によるものです。...
説明:Apple Type Services が埋め込みフォントを処理する際、インデックスがチェックされない問題が存在します。このため、悪意を持って作成された フォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。この問題は、インデックスチェック機能を改善することで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に所属する Charlie Miller 氏の 功績 によるものです。...
説明:Apple Type Services には、CFF (Compact Font Format) フォントの処理時、ヒープバッファがオーバーフローする脆弱性があります。このため、悪意を持って作成された CFF フォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力している Independent Security Evaluators の Charlie Miller 氏の 功績 によるものです。...
説明:Safari による「feed:」URL の処理に、入力検証の脆弱性が複数存在しています。悪意を持って作成された「feed:」URL にアクセスすると、任意の JavaScript が実行される可能性があります。このアップデートでは、「feed:」URL の検証を強化することで問題が解消されています。この問題は、Mac OS X v10.5 より前のシステムでは発生しません。Safari 3.2.3 は Mac OS X v10.5.7 アップデートに付属しています。これらの問題の報告は、Microsoft Vulnerability Research (MSVR) の Billy Rios 氏、および Alfredo Melloni 氏の 功績 によるものです。...
説明:QuickTime MPEG-2 再生コンポーネント (Windows) に入力検証の問題があります。悪意を持って作成されたムービーファイルにアクセスすると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、MPEG-2 ファイルの検証を強化することで問題が解消されています。この問題は、Mac OS X を実行するシステムでは発生しません。この問題の報告は、Code Lemon の Richard Lemon 氏の 功績 によるものです。...
説明:mp4 オーディオファイルの処理においてバッファオーバーフローが存在します。悪意を持って作成された mp4 オーディオファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、trapkit.de の Tobias Klein 氏の 功績 によるものです。...
説明:Java Web Start コマンドランチャーでスタックバッファオーバーフローが発生します。悪意を持って作成された Java Web Start アプリケーションを起動すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題は Mac OS X v10.6 搭載のシステムでは発生しません。この問題の報告は、カーネギーメロン大学コンピューティングサービスの Chris Ries 氏の 功績 によるものです。...
説明:QuickTime による Sorenson 3 ビデオファイルの処理時にメモリ破損が引き起こされ、これにより、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、Sorenson 3 ビデオファイルの追加の検証を行うことで問題が解消されています。この問題の報告は、Secunia Research の Carsten Eiram 氏の 功績 によるものです。...
説明:QuickTime 向けの他社製 Indeo v5 コーデックに未初期化メモリアクセスの脆弱性があります。このコーデックは QuickTime に付属していません。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、バージョンを問わず Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにすることで、問題が解決されています。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題の報告は NGSSoftware の Paul Byrne 氏の 功績 によるものです。...
CoreGraphics による引数の処理にはメモリ破損に関する脆弱性があり、Web ブラウザなどのアプリケーションから CoreGraphics に信頼できない入力値が渡されると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Google の Michal Zalewski 氏の 功績 によるものです。...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする