を通じて、製品のセキュリティ対策について情報を公開し、セキュリティの問題についてAppleに報告してくださった個人や組織の 功績 をたたえ、感謝の意を表明しています。また、Webサーバのセキュリティに関する問題をご報告いただいた研究者の方々は、...
AppleのWebサーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その 功績 を称えるため、Appleではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。...
のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。 説明:信用できるルート証明書のリストに記載されている 2 つの認証局が、それぞれ独自に DigiCert Malaysia に中間証明書を発行しました。DigiCert Malaysia は、無効にできない強度の低い鍵を使用した証明書を発行します。特権のあるネットワークポジションの攻撃者が、DigiCert Malaysia によって発行された証明書を使用したサイト用のユーザの資格情報またはその他の機密情報を攻撃する場合があります。この問題は、DigiCert Malaysia の証明書を信用しないようデフォルトのシステム信頼設定を変更することで、解消されています。この問題の報告は、Entrust, Inc. の Bruce Morton 氏の 功績 によるものです。 dovecot 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8...
プロフィールにどのような情報を記載するかは、プライバシー情報を除き、自分で決められます。略歴を載せて、ほかのメンバーに自己紹介できます。コミュニティサイトでは個性的な方法でご自身をアピールできます。実績や 功績 を掲載すると、さらに信頼が得られます。ご自身のことや興味のあることを書いておくと、ほかのメンバーとの交流する機会に役立ちます。プロフィールを参照することで、製品エキスパートについて、その人ならではの資質をいろいろと学ぶことができます 。...
AppleのWebサーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その 功績 を称えるため、Appleではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。...
説明:CFNetwork の URL の処理コードに、スタックオーバーフローが存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、メモリ処理を強化することによって解消されました。この問題の報告は TEHTRI-Security の Laurent OUDOT 氏の 功績 によるものです。...
説明:ColorSync プロファイルが埋め込まれている画像の処理にヒープバッファオーバーフローの問題があります。悪意を持って作成された、ColorSync プロファイルが埋め込まれている画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、ColorSync プロファイルの検証を強化することで解決されています。この問題の報告は、Google Security Team の Chris Evans 氏、および Andrzej Dyjak 氏の 功績 によるものです。...
説明:Application Sandbox はアプリケーションがユーザの写真ライブラリに直接アクセスすることを防げません。これにより、アプリケーションが、承認を得ずに、ユーザが訪れた場所を判断できる可能性があります。この問題は、ユーザの写真ライブラリに直接アクセスするのを防ぐように Application Sandbox を変更することにより解消されます。この問題の報告は Zac White 氏の 功績 によるものです。...
説明:QuickTime による JP2 画像の処理にヒープバッファオーバーフローが存在します。悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、Bounds Checking を改良することによって解決されています。Mac OS X v10.6 システムでは、Mac OS X v10.6.5 でこの問題が解決されています。この問題の報告は、MWR InfoSecurity の Nils 氏および CERT/CC の Will Dormann 氏の 功績 によるものです。...
説明:CoreGraphics 内の色空間の処理にヒープバッファオーバーフローの脆弱性があります。悪意を持って作成された画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。 功績 :Apple...
説明:QuickTime による Sorenson 3 ビデオファイルの処理時にメモリ破損が引き起こされ、これにより、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、Sorenson 3 ビデオファイルの追加の検証を行うことで問題が解消されています。この問題の報告は、Secunia Research の Carsten Eiram 氏の 功績 によるものです。...
説明:PICT 画像の処理時に、ヒープバッファオーバーフローが発生する問題があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、PICT 画像の検証を強化することで解消されました。Mac OS X v10.6 システムについては Mac OS X v10.6.2 で、Mac OS X v10.5 システムについてはセキュリティアップデート 2009-006 で、この問題が解決されています。この問題の報告は、VUPEN Vulnerability Research Team の Nicolas Joly 氏の 功績 によるものです。...
説明:画像ファイルは、一度ダウンロードされるとユーザへの警告なしに Safari で表示される「安全な」ファイルタイプです。Safari の問題により、特定のローカルイメージのファイルタイプを識別できない場合があります。この場合、Safari はこれらのファイルの内容を確認し、HTML として処理する可能性があります。ファイルに JavaScript が含まれている場合は、ローカルコンテキスト内で実行されます。ダウンロードされたファイルでは、最初にユーザに確認することなく JavaScript が実行されるべきではありません。この問題は、不明なファイルタイプを一般的なバイナリデータとして処理し、この問題が確認されている画像ファイルタイプを正しく認識することで解決されています。この問題の報告は、Recurity Labs GmbH の Sergio 'shadown' Alvarez 氏の 功績 によるものです。...
説明:QuickTime 向けの他社製 Indeo v5 コーデックに未初期化メモリアクセスの脆弱性があります。このコーデックは QuickTime に付属していません。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、バージョンを問わず Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにすることで、問題が解決されています。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題の報告は NGSSoftware の Paul Byrne 氏の 功績 によるものです。...
説明:QuickTime による画像説明アトムの処理に、メモリ破損の脆弱性が存在します。攻撃者は、悪意を持って作成されたムービーファイルを開くようユーザを誘導することで、アプリケーションを突然終了させたり、任意のコードを実行したりする可能性があります。このアップデートでは、QuickTime の画像説明の検証を強化することで問題が解消されています。この問題の報告は、Adobe Systems Incorporated の Dylan Ashe 氏の 功績 によるものです。...
説明:データ参照アトムの処理に問題があり、バッファがオーバーフローする可能性があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、データ参照アトムの検証を強化することで問題が解消されています。この問題の報告は、Carnegie Mellon University Computing Services の Chris Ries 氏の 功績 によるものです。...
説明:QuickTime で RTSP URL を処理すると、ヒープバッファオーバーフローが発生することがあります。悪意を持って作成された RTSP URL にアクセスすると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、RTSP URL の検証を強化することで問題が解消されています。この問題の報告は、Attila Suszter 氏の 功績 によるものです。...
説明:QuickTime による H.264 ムービーファイルの処理にメモリ破損の脆弱性があります。悪意を持って作成された H.264 ムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Adobe Secure Software Engineering Team の Tom Ferris 氏の 功績 によるものです。...
説明:Sorenson 3 ビデオファイルを QuickTime で処理する際に、メモリ破損の問題が発生します。アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、Sorenson 3 ビデオファイルの追加の検証を行うことで問題が解消されています。この問題の報告は、Virginia Tech の Joe Schottman 氏の 功績 によるものです。...
説明:PICT 画像を処理する際の QuickTime による PixData 構造の処理に問題があり、ヒープバッファオーバーフローが発生する可能性があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題は、Mac OS X を搭載しているシステムでは発生しません。この問題の報告は、Secunia Research の Dyon Balding 氏の 功績 によるものです。...
説明:構成プロファイルの処理に、署名の検証の問題が存在します。悪意を持って作成された構成プロファイルが、構成インストールユーティリティで有効な署名を持っているように見えることがあります。この問題は、プロファイルの署名の検証を改良することで解決されています。この問題の報告は、Bomgar Corporation の Barry Simpson 氏の 功績 によるものです。...
CoreGraphics による引数の処理にはメモリ破損に関する脆弱性があり、Web ブラウザなどのアプリケーションから CoreGraphics に信頼できない入力値が渡されると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Google の Michal Zalewski 氏の 功績 によるものです。...
説明:ストライプ化されたディスクイメージをマウントすると、AppleRAID のヌルポインタ逆参照の問題が生じる可能性があります。これにより、システムが予期せず終了する可能性があります。Safari の環境設定で「ダウンロード後、"安全な" ファイルを開く」が選択されている場合、ディスクイメージファイルは自動的にマウントされます。このアップデートでは、ディスクイメージの検証を強化することで問題が解消されています。この問題の報告は、ハートフォードシャー大学 SSAM1 の Mark Tull 氏、および Zetera Corporation の Joel Vink 氏の 功績 によるものです。...
説明:LZW でエンコードされた TIFF 画像の libTIFF による処理に未初期化メモリアクセスの脆弱性が複数存在します。悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、メモリを適切に初期化し、TIFF 画像の検証を強化することによって問題が解決しています。これらの問題は Mac OS X v10.5.5 を搭載したシステムではすでに解消しています。 功績 :Apple...
説明:特定のムービーファイルアトムの処理で整数演算の問題が発生し、スタックバッファオーバーフローにつながる可能性があります。悪意を持って作成されたムービーファイルを開くと、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。このアップデートでは、ムービーファイルのアトム長フィールドの処理を改善することで問題が解消されています。この問題の報告は、TippingPoint DVLabs の Cody Pierce 氏の 功績 によるものです。...
説明:AAC または MP3 ファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された AAC または MP3 ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、trapkit.de の Tobias Klein 氏の 功績 によるものです。...
説明:位置情報サービスの設定パネルでのユーザインターフェイスにアクセシビリティの問題が存在します。過去 24 時間以内に位置情報を要求したアプリケーション名の横に、位置情報のアイコンが表示されているにもかかわらず、VoiceOver による音声通知がされません。この問題は、VoiceOver が位置情報サービスのアイコンを正常に通知できるようにすることで解決されています。この問題の報告は、Forever Living Products Europe の Robin Kipp 氏の 功績 によるものです。...
説明:長い文字列の描画にヒープバッファオーバーフローが存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は Google Inc. の Will Drewry 氏の 功績 によるものです。...
説明:Safari のセキュリティモデルにより、リモート Web ページに含まれる JavaScript がドメインの外にあるページを変更することを防ぎます。ページの更新と HTTP リダイレクトが同時に発生する競合状態により、1 つのページの JavaScript によりリダイレクトされたページが変更される可能性があります。このため、Cookie とページが読み取られたり、任意に変更されたりする可能性があります。このアップデートでは、ウインドウプロパティへのアクセス制御を修正するによってこの問題が解消されています。この問題の報告は、Adobe Systems, Inc. の Lawrence Lai 氏、Stan Switzer 氏、Ed Rowe 氏の 功績 によるものです。...
説明:Safari に検索パスの問題があります。ダウンロードされたファイルの場所を表示すると、Safari によって実行可能なファイルのパスが完全に指定されていないにもかかわらず Windows Explorer が起動されます。特定のディレクトリのファイルを開いて Safari を起動すると、検索パスにそのディレクトリが含まれます。ダウンロードされたファイルの場所を表示しようとすると、そのディレクトリにあるアプリケーションが実行され、任意のコードが実行される可能性があります。この問題は、Windows Explorer を起動するときに明確な検索パスを使うことで解決されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、ACROS Security の Simon Raner 氏の 功績 によるものです。...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする