セキュリティアップデート 2010-002/Mac OS X v10.6.3 のセキュリティコンテンツについて
セキュリティアップデート 2010-002/Mac OS X v10.6.3 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらの記事を参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
セキュリティアップデート 2010-002/Mac OS X v10.6.3
AppKit
CVE-ID:CVE-2010-0056
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:悪意を持って作成された文書をスペルチェックすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:Cocoa アプリケーションによって使用されるスペルチェック機能で、バッファオーバーフローが発生する場合があります。悪意を持って作成された文書をスペルチェックすると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題は Mac OS X v10.6 システムでは発生しません。功績:Apple
Application Firewall
CVE-ID:CVE-2009-2801
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:アプリケーションファイアウォールの一部のルールが、再起動後に無効になる場合がある。
説明:アプリケーションファイアウォールのタイミングに問題があり、再起動後に一部のルールが無効になる場合があります。この問題は、ファイアウォールルールの処理を改善することで解決されました。この問題は Mac OS X v10.6 システムでは発生しません。この問題の報告は、OrganicOrb.com の Michael Kisor 氏の功績によるものです。
AFP Server
CVE-ID:CVE-2010-0057
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:ゲストアクセスが無効化されている場合に、リモートユーザがゲストとして AFP 共有をマウントできる可能性がある。
説明:AFP サーバのアクセス制御に問題があり、ゲストアクセスが無効化されていても、リモートユーザがゲストとして AFP 共有をマウントできる可能性があります。この問題は、アクセス制御チェックを強化することで解決されました。功績:Apple
AFP Server
CVE-ID:CVE-2010-0533
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:AFP 共有へのゲストアクセス権を持つリモートユーザが、パブリック共有の外にある誰でも読み取り可能なファイルのコンテンツにアクセスできる可能性がある。
説明:AFP 共有のパス検証に、ディレクトリトラバーサルの問題があります。リモートユーザが共有ルートの親ディレクトリを列挙し、そのディレクトリの中にある、「nobody」ユーザがアクセス可能なファイルを読み書きできる可能性があります。この問題は、ファイルパスの処理方法を改善することで解決されています。この問題の報告は、cqure.net の Patrik Karlsson 氏の功績によるものです。
Apache
CVE-ID:CVE-2009-3095
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者がアクセス制御の制約を回避できる可能性がある。
説明:プロキシ経由の FTP リクエストに関する Apache の処理に、入力検証の問題があります。プロキシ経由でリクエストを発行できるリモートの攻撃者が、Apache の構成で指定されたアクセス制御の制約を回避できる可能性があります。この問題は、Apache をバージョン 2.2.14 にアップデートすることで解決されています。
ClamAV
CVE-ID:CVE-2010-0058
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:ClamAV ウイルス定義がアップデートを受信しない場合がある。
説明:セキュリティアップデート 2009-005 で生じた構成の問題により、freshclam の実行が妨げられています。そのせいで、ウイルス定義がアップデートされない可能性があります。この問題は、freshclam の launchd.plist の ProgramArguments キー値をアップデートすることによって解決されています。この問題は Mac OS X v10.6 システムでは発生しません。この問題の報告は、Bayard Bell 氏、Delicious Monster の Wil Shipley 氏、Zion Software, LLC の David Ferrero 氏の功績によるものです。
CoreAudio
CVE-ID:CVE-2010-0059
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたオーディオコンテンツを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:QDM2 でエンコードされたオーディオコンテンツの処理時に、メモリ破損が発生する場合があります。悪意を持って作成されたオーディオファイルを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
CoreAudio
CVE-ID: CVE-2010-0060
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたオーディオコンテンツを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:QDMC でエンコードされたオーディオコンテンツの処理時に、メモリ破損が発生する場合があります。悪意を持って作成されたオーディオファイルを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
CoreMedia
CVE-ID:CVE-2010-0062
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:H.263 でエンコードされたムービーファイルを CoreMedia で処理する際に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は H.263 でエンコードされたムービーファイルの検証を強化することにより解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Damian Put 氏および匿名の研究者の功績によるものです。
CoreTypes
CVE-ID:CVE-2010-0063
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:安全でない可能性がある特定のコンテンツタイプを開こうとしても、警告が表示されない。
説明:このアップデートでは、特定の状況下 (Web ページからダウンロードする場合など) で潜在的に安全でないとみなされるコンテンツタイプのシステムリストに、.ibplugin と .url が追加されています。これらのコンテンツタイプは自動的に開かれることはありませんが、このようなコンテンツを手動で開くと、悪意のある JavaScript ペイロードが実行されたり、任意のコードが実行されたりする可能性があります。このアップデートでは、Safari で使われるコンテンツタイプを処理する前に、ユーザに通知するシステムの機能が強化されています。この問題の報告は、Laconic Security の Clint Ruoho 氏の功績によるものです。
CUPS
CVE-ID:CVE-2010-0393
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:ローカルユーザによって、システム特権が不正に取得される可能性がある。
説明:lppasswd CUPS ユーティリティには書式文字列の脆弱性があります。また、これが原因で、ローカルユーザがシステム権限を取得できる可能性があります。Mac OS X v10.6 システムは、setuid のビットがバイナリに設定されている場合にのみ影響を受けます。この問題は、setuid プロセスとして実行する場合にデフォルトディレクトリを使用することによって解決されます。この問題の報告は、Ronald Volgers 氏の功績によるものです。
curl
CVE-ID:CVE-2009-2417
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:中間者攻撃を行う攻撃者が、信頼できるサーバを偽装する場合がある。
説明:X.509 証明書のサブジェクトの CN (Common Name) フィールドのヌル文字を curl で処理する場合に、正規化の問題があります。これにより、curl コマンドラインツールのユーザ、または libcurl を使用するアプリケーションへの中間者攻撃が発生する可能性があります。この問題は、ヌル文字の処理を改善することによって解決されています。
curl
CVE-ID:CVE-2009-0037
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:curl を -L 付きで使用することで、リモートの攻撃者がローカルファイルを読み書きできる可能性がある。
説明:curl は、-L オプション付きで使用した場合、HTTP および HTTPS リダイレクトに従います。curl がリダイレクトに従う場合、file:// URLs が許容されます。これにより、リモートの攻撃者がローカルファイルにアクセスできる可能性があります。この問題は、リダイレクトの検証を強化することで解決されています。この問題は Mac OS X v10.6 システムでは発生しません。この問題の報告は Haxx AB の Daniel Stenberg 氏の功績によるものです。
Cyrus IMAP
CVE-ID:CVE-2009-2632
対象 OS:Mac OS X Server v10.5.8
影響:ローカルユーザが Cyrus ユーザの権限を取得できる可能性がある。
説明:sieve スクリプトの処理時に、バッファオーバーフローが発生する場合があります。悪意を持って作成された sieve スクリプトを実行することにより、ローカルユーザが Cyrus ユーザの権限を取得できる可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題は Mac OS X v10.6 システムでは発生しません。
Cyrus SASL
CVE-ID:CVE-2009-0688
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:認証されていないリモート攻撃者によって、アプリケーションが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:Cyrus SASL 認証モジュールでバッファオーバーフローが発生する場合があります。Cyrus SASL 認証の使用によって、アプリケーションが突然終了されたり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題は Mac OS X v10.6 システムでは発生しません。
DesktopServices
CVE-ID:CVE-2010-0064
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:Finder にコピーされた項目が、予期せぬファイル所有者に割り当てられる可能性がある。
説明:Finder で認証済みのコピーを実行する際、オリジナルのファイル所有権が意図に反してコピーされる可能性があります。このアップデートでは、コピーを実行するユーザが確実にファイルを所有するようにすることで問題を解決しました。この問題は Mac OS X v10.6 より前のシステムには影響しません。この問題の報告は Auburn University (アラバマ州オーバーン) の Gerrit DeWitt 氏の功績によるものです。
DesktopServices
CVE-ID:CVE-2010-0537
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者がマルチステージ攻撃によってユーザデータへのアクセス権を取得する可能性がある。
説明:DesktopServices のパス解決に問題があり、マルチステージ攻撃に対して脆弱です。リモート攻撃者はまず、任意の名前の共有をマウントするように誘導する必要があり、これは URL スキームを介して行われる可能性があります。いずれかのアプリケーションでデフォルトの保存パネルを使ってファイルを保存し、「フォルダへ移動」を使うかまたはフォルダを保存パネルにドラッグすると、データが悪意のある共有に意図に反して保存される可能性があります。この問題は、パス解決を改善することによって解決されています。この問題は Mac OS X v10.6 より前のシステムには影響しません。この問題の報告は DeepTech, Inc. に協力する Sidney San Martin 氏の功績によるものです。
Disk Images
CVE-ID: CVE-2010-0065
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたディスクイメージをマウントすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:bzip2 で圧縮されたディスクイメージの処理時に、メモリ破損が発生する場合があります。悪意を持って作成されたディスクイメージをマウントすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。この問題は、配列境界チェック機能を改良したことで解消されています。功績:Apple
Disk Images
CVE-ID:CVE-2010-0497
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたディスクイメージをマウントすると、任意のコードが実行される可能性がある。
説明:インターネット対応のディスクイメージの処理に設計上の問題があります。パッケージファイルタイプを含むインターネット対応のディスクイメージをマウントすると、イメージが開かれますが Finder に表示されません。このファイル隔離機能は、安全ではないファイルタイプに関する警告ダイアログを表示することによって、この問題の軽減に役立ちます。この問題は、インターネット対応のディスクイメージでのパッケージファイルタイプの処理を改善することで解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Brian Mastenbrook 氏の功績によるものです。
Directory Services
CVE-ID:CVE-2010-0498
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:ローカルユーザによって、システム特権が不正に取得される可能性がある。
説明:Directory Services によるレコード名の処理で認証に問題があり、ローカルユーザがシステム権限を取得する可能性があります。この問題は、認証チェックを強化することで解決されました。功績:Apple
Dovecot
CVE-ID:CVE-2010-0535
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:認証済みユーザが、SACL でメール送受信を許可されていなくても、メールを送受信できる可能性がある。
説明:Kerberos 認証が有効化されている場合に、Dovecot にアクセス制御の問題があります。これにより、認証済みユーザが、サービスアクセス制御リスト (SACL) でメールの送受信を許可されていなくても、メールを送受信できる可能性があります。この問題は、アクセス制御チェックを強化することで解決されました。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
Event Monitor
CVE-ID:CVE-2010-0500
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者によって、任意のシステムがファイアウォールのブラックリストに追加される可能性がある。
説明:認証に失敗したリモート ssh クライアントで、DNS 逆引きが実行されます。解決された DNS 名の処理に plist インジェクションの問題があります。これにより、リモートの攻撃者によって任意のシステムがファイアウォールのブラックリストに追加される可能性があります。この問題は、解決された DNS 名を正しくエスケープすることによって解決されています。功績:Apple
FreeRADIUS
CVE-ID:CVE-2010-0524
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者が RADIUS 認証を通じてネットワークへのアクセス権を取得する可能性がある。
説明:FreeRADIUS サーバのデフォルトの Mac OS X 構成において、証明書認証に関する問題があります。リモートの攻撃者が、認証に FreeRADIUS を使用するように構成されたネットワークに対し、任意の有効な証明書と共に EAP-TLS を使用して認証および接続を行う可能性があります。この問題は、構成内で EAP-TLS のサポートを無効化することによって解決されています。RADIUS クライアントでは、その代わりに EAP-TTLS を使用する必要があります。この問題は Mac OS X Server システムでのみ発生します。この問題の報告は、Qnet の Chris Linstruth 氏の功績によるものです。
FTP Server
CVE-ID:CVE-2010-0501
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:ユーザが FTP ルートディレクトリ外のファイルを取得できる可能性がある。
説明:FTP サーバにディレクトリトラバーサルの問題があります。これにより、ユーザが FTP ルートディレクトリ外のファイルを取得する可能性があります。この問題は、ファイル名の処理を改善することで解決されています。この問題は Mac OS X Server システムでのみ発生します。功績:Apple
iChat Server
CVE-ID:CVE-2006-1329
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者から、サービス運用妨害を受ける可能性がある。
説明:jabberd による SASL ネゴシエーションの処理に、実装上の問題があります。リモートの攻撃者が、jabberd の動作を停止できる可能性があります。この問題は、SASL ネゴシエーションの処理を改善することで解決されています。この問題は Mac OS X Server システムでのみ発生します。
iChat Server
CVE-ID:CVE-2010-0502
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:チャットメッセージがログに記録されない可能性がある。
説明:iChat サーバの設定可能なグループチャットログのサポートに、設計上の問題があります。iChat サーバは、特定のタイプのメッセージしかログに記録しません。これにより、リモートユーザがサーバを通じてメッセージを送信しても、ログに記録されない可能性があります。この問題は、グループチャットログの無効化機能を削除して、サーバを通じて送信されたすべてのメッセージをログに記録することで解決されています。この問題は Mac OS X Server システムでのみ発生します。功績:Apple
iChat Server
CVE-ID:CVE-2010-0503
対象 OS:Mac OS X Server v10.5.8
影響:認証済みユーザが、アプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性がある。
説明:iChat サーバに解放済みメモリ使用 (use-after-free) の脆弱性が存在します。認証済みユーザがアプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性があります。この問題は、メモリ参照追跡機能を改善することによって解消されました。この問題の影響があるのは Mac OS X Server システムだけです。また、バージョン 10.6 以降には影響しません。
iChat Server
CVE-ID:CVE-2010-0504
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:認証済みユーザが、アプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性がある。
説明:iChat サーバに複数のスタックバッファオーバーフローの問題があります。認証済みユーザがアプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性があります。これらの問題は、メモリ管理を改善することで解決されています。なお、この問題は Mac OS X Server システムでのみ発生します。功績:Apple
ImageIO
CVE-ID:CVE-2010-0505
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:JP2 画像の処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、 Carnegie Mellon University Computing Service の Chris Ries 氏、TippingPoint の Zero Day Initiative に協力する研究者 "85319bb6e6ab398b334509c50afce5259d42756e" の功績によるものです。
ImageIO
CVE-ID:CVE-2010-0041
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された Web サイトにアクセスすると、Safari のメモリからその Web サイトにデータが送信される可能性がある。
説明:ImageIO で BMP 画像を処理する際に、初期化されないメモリアクセスの問題が発生する場合があります。悪意を持って作成された Web サイトにアクセスすると、Safari のメモリからその Web サイトにデータが送信される可能性があります。メモリ初期化処理を改良すること、および BMP 画像の検証を強化することによって、この問題は解決されています。この問題の報告は、Hispasec の Matthew 'j00ru' Jurczyk 氏の功績によるものです。
ImageIO
CVE-ID:CVE-2010-0042
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された Web サイトにアクセスすると、Safari のメモリからその Web サイトにデータが送信される可能性がある。
説明:ImageIO で TIFF 画像を処理する際に、初期化されないメモリアクセスの問題が発生する場合があります。悪意を持って作成された Web サイトにアクセスすると、Safari のメモリからその Web サイトにデータが送信される可能性があります。メモリ初期化処理を改良すること、および TIFF 画像の検証を強化することによって、この問題は解決されています。この問題の報告は、Hispasec の Matthew 'j00ru' Jurczyk 氏の功績によるものです。
ImageIO
CVE-ID:CVE-2010-0043
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された TIFF 画像を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:TIFF イメージの処理時に、メモリ破損が発生する場合があります。悪意を持って作成された TIFF 画像を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、メモリ処理を強化することによって解消されました。この問題は Mac OS X v10.6 より前のシステムには影響しません。この問題の報告は Flying Meat の Gus Mueller 氏の功績によるものです。
Image RAW
CVE-ID: CVE-2010-0506
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:悪意を持って作成された NEF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:Image RAW による NEF 画像の処理時に、バッファオーバーフローが発生する場合があります。悪意を持って作成された NEF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題は Mac OS X v10.6 システムでは発生しません。功績:Apple
Image RAW
CVE-ID:CVE-2010-0507
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された PEF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:Image RAW による PEF 画像の処理時に、バッファオーバーフローが発生する場合があります。悪意を持って作成された PEF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、Carnegie Mellon University Computing Services の Chris Ries 氏の功績によるものです。
Libsystem
CVE-ID:CVE-2009-0689
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:信頼されていないデータをバイナリ浮動小数点とテキストとの間で変換するアプリケーションに脆弱性があり、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:Libsystem 内での浮動小数点バイナリとテキストの変換時にバッファオーバーフローが発生する場合があります。アプリケーションに浮動小数点値を長い文字列に変換させるか、悪意を持って作成された文字列を不動小数点値として解析させることができる攻撃者は、アプリケーションを予期せず終了させたり、任意のコードを実行したりすることができる可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は SecurityReason.com の Maksymilian Arciemowicz 氏の功績によるものです。
Mail
CVE-ID:CVE-2010-0508
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:削除済みのメールアカウントに関連付けられたルールの有効性が継続する。
説明:メールアカウントが削除されても、そのアカウントに関連付けられたユーザ定義のフィルタルールが有効のままになります。これにより、予期しない動作が発生する場合があります。この問題は、メールアカウントを削除するときに、関連付けられたルールを無効化することによって解決されています。
Mail
CVE-ID:CVE-2010-0525
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:メールアプリで、発信メールに弱い暗号化鍵が使用される可能性がある。
説明:メールアプリによる暗号化証明書の処理に論理的な問題があります。受信者に対して複数の証明書がキーチェーン内に存在すると、暗号化で意図されていない暗号化鍵をメールアプリが選択する可能性があります。期待されるものよりも弱い鍵が選択された場合は、セキュリティの問題につながりかねません。この問題は、メール暗号化鍵の選択時に、証明書の拡張鍵用途 (Key Usage Extension) が確実に評価されるようにすることで解決されています。この問題の報告は、ps Enable, Inc. の Paul Suh 氏の功績によるものです。
Mailman
CVE-ID:CVE-2008-0564
対象 OS:Mac OS X Server v10.5.8
影響:Mailman 2.1.9 に複数の脆弱性がある。
説明:Mailman 2.1.9 に複数のクロスサイトスクリプティングの問題があります。これらの問題は、Mailman をバージョン 2.1.13 にアップデートすることによって解決されています。詳細については、Mailman のサイト (http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html) を参照してください。これらの問題は Mac OS X Server システムでのみ発生します。また、バージョン 10.6 以降には影響しません。
MySQL
CVE-ID:CVE-2008-4456、CVE-2008-7247、CVE-2009-2446、CVE-2009-4019、CVE-2009-4030
対象 OS:Mac OS X Server v10.6 ~ v10.6.2
影響:MySQL 5.0.82 に複数の脆弱性がある。
説明:MySQL における複数の脆弱性が原因で、最も深刻な場合は、任意のコードが実行される可能性があります。MySQL をバージョン 5.0.88 にアップデートすることにより、この問題に対応しています。なお、この問題は Mac OS X Server システムでのみ発生します。詳しくは、MySQL Web サイトを参照してください。http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
OS Services
CVE-ID:CVE-2010-0509
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:ローカルユーザによって、上位のアクセス権が取得される可能性がある。
説明:SFLServer がグループの 'wheel' として実行され、ユーザのホームディレクトリにあるファイルにアクセスするときに、アクセス権昇格の問題が発生する場合があります。この問題は、権限管理を改善することで解決されています。この問題の報告は、DigitalMunition の Kevin Finisterre 氏の功績によるものです。
Password Server
CVE-ID:CVE-2010-0510
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者が古いパスワードを使用してログインできる可能性がある。
説明:Password Server によるレプリケーションの処理に実装上の問題があり、パスワードが複製されない可能性があります。リモートの攻撃者が、古いパスワードを使用してシステムにログインできる可能性があります。この問題は、パスワードレプリケーションの処理を改善することで解決されています。この問題は Mac OS X Server システムでのみ発生します。この問題の報告は、Anchorage School District の Jack Johnson 氏の功績によるものです。
perl
CVE-ID:CVE-2008-5302、CVE-2008-5303
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:ローカルユーザによって任意のファイルが削除される可能性がある。
説明:perl の File::Path モジュールの rmtree 関数に複数の競合状態の問題があります。削除対象ディレクトリへの書き込みアクセス権を持つローカルユーザが、perl プロセスのアクセス権によって任意のファイルを削除する可能性があります。この問題は、シンボリックリンクの処理を改善することで解決されています。この問題は Mac OS X v10.6 システムでは発生しません。
PHP
CVE-ID:CVE-2009-3557、CVE-2009-3558、CVE-2009-3559、CVE-2009-4017
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:PHP 5.3.0 に複数の脆弱性がある。
説明:PHP における複数の脆弱性が原因で、最も深刻な場合は、任意のコードが実行される可能性があります。PHP をバージョン 5.3.1 にアップデートすることにより、この問題に対応しています。詳しくは、次の PHP の Web サイトを参照してください。http://www.php.net/
PHP
CVE-ID:CVE-2009-3557、CVE-2009-3558、CVE-2009-3559、CVE-2009-4142、CVE-2009-4143
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:PHP 5.2.11 に複数の脆弱性がある。
説明:PHP における複数の脆弱性が原因で、最も深刻な場合は、クロスサイトスクリプティングが発生する可能性があります。PHP をバージョン 5.2.12 にアップデートすることにより、この問題に対応しています。詳しくは、次の PHP の Web サイトを参照してください。http://www.php.net/
Podcast Producer
CVE-ID:CVE-2010-0511
対象 OS:Mac OS X Server v10.6 ~ v10.6.2
影響:未認証ユーザが Podcast Composer ワークフローにアクセスできる可能性がある。
説明:Podcast Composer ワークフローが上書きされるとき、アクセス制限が削除されます。これにより、未認証ユーザが Podcast Composer ワークフローにアクセスできる可能性があります。この問題は、ワークフローのアクセス制限の処理を改善することで解決されています。Podcast Composer は Mac OS X Server v10.6 で導入されました。
Preferences
CVE-ID:CVE-2010-0512
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:ネットワークユーザがシステムログイン制限を回避できる可能性がある。
説明:ネットワークアカウントのシステムログイン制限の処理に実装上の問題があります。ログインウインドウでシステムへのアクセスを許可されているネットワークアカウントがグループのメンバーシップのみで識別される場合、制限が強制されず、すべてのネットワークユーザがシステムにログインできる可能性があります。この問題は、システム環境設定の「アカウント」パネルのグループ制限管理を改善することで解決されています。この問題はネットワークアカウントサーバを使用するように設定されたシステムのみに影響し、Mac OS X v10.6 より前のシステムには影響しません。この問題の報告は、University of Michigan MSIS の Christopher D. Grieb の功績によるものです。
PS Normalizer
CVE-ID:CVE-2010-0513
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された PostScript ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:PostScript ファイルの処理時に、スタックバッファオーバーフローが発生する場合があります。悪意を持って作成された PostScript ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりします。この問題は、PostScript ファイルの検証を強化することにより解決されています。Mac OS X v10.6 システムでは、この問題は -fstack-protector コンパイラフラグによって軽減されています。功績:Apple
QuickTime
CVE-ID:CVE-2010-0062
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:H.263 でエンコードされたムービーファイルを QuickTime で処理する際に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は H.263 でエンコードされたムービーファイルの検証を強化することにより解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Damian Put 氏および匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0514
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:H.261 でエンコードされたムービーファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は H.261 でエンコードされたムービーファイルの検証を強化することにより解決されています。この問題の報告は、CERT/CC の Will Dormann 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0515
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:H.264 でエンコードされたムービーファイルの処理時に、メモリ破損が発生する可能性があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は H.264 でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0516
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:RLE でエンコードされたムービーファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は RLE でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0517
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:M-JPEG でエンコードされたムービーファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は M-JPEG でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Damian Put 氏および匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0518
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:Sorenson でエンコードされたムービーファイルの処理時に、メモリ破損が発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は Sorenson でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、CERT/CC の Will Dormann 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0519
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:FlashPix でエンコードされたムービーファイルの処理時に、整数オーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0520
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:FLC でエンコードされたムービーファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は FLC でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する n.runs AG の Moritz Jodeit 氏、および VUPEN Security の Nicolas Joly 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2010-0526
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された MPEG ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:MPEG でエンコードされたムービーファイルの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は MPEG でエンコードされたムービーファイルの検証を強化することによって解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
Ruby
CVE-ID:CVE-2009-2422、CVE-2009-3009、CVE-2009-4214
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:Ruby on Rails に複数の脆弱性がある。
説明:Ruby on Rails に複数の脆弱性があります。これらの脆弱性に起因する最も深刻な問題として、クロスサイトスクリプティングが発生する可能性があります。Mac OS X v10.6 システムでは、これらの問題は Ruby on Rails をバージョン 2.3.5 にアップデートすることによって解決されています。Mac OS X v10.5 システムは CVE-2009-4214 の影響のみを受け、この問題は strip_tags に対する引数の検証を強化することで解決されています。
Ruby
CVE-ID:CVE-2009-1904
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:信頼されない入力を使用して BigDecimal オブジェクトを初期化する Ruby スクリプトを実行することによって、アプリケーションが予期せず終了する可能性がある。
説明:非常に大きい値を持つ BigDecimal オブジェクトを Ruby で処理する際に、スタック不足が発生する場合があります。信頼されない入力を使用して BigDecimal オブジェクトを初期化する Ruby スクリプトを実行することによって、アプリケーションが予期せず終了する可能性があります。Mac OS X v10.6 システムでは、この問題は Ruby をバージョン 1.8.7-p173 にアップデートすることによって解決されています。Mac OS v10.5 システムでは、この問題は Ruby をバージョン 1.8.6-p369 にアップデートすることによって解決されています。
Server Admin
CVE-ID:CVE-2010-0521
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者が Open Directory から情報を抽出する可能性がある。
説明:認証済みディレクトリバインディングの処理に設計上の問題があります。「ディレクトリとクライアントの間で認証済みバインディングを要求」オプションが選択されていても、リモートの攻撃者が Open Directory から匿名で情報を抽出できる可能性があります。この問題は、該当の設定オプションを削除することで解決されています。この問題は Mac OS X Server システムでのみ発生します。この問題の報告は、Gruby Solutions の Scott Gruby 氏、および GRAVIS Computervertriebsgesellschaft mbH の Mathias Haack 氏の功績によるものです。
Server Admin
CVE-ID:CVE-2010-0522
対象 OS:Mac OS X Server v10.5.8
影響:以前の管理者が、画面共有に対する非認証のアクセス権を有している可能性がある。
説明: 'admin' グループから削除されたユーザが、画面共有を使用して引き続きサーバに接続できる可能性があります。この問題は、管理者権限の処理を改善することで解決されています。この問題の影響があるのは Mac OS X Server だけです。また、バージョン 10.6 以降には影響しません。功績:Apple
SMB
CVE-ID:CVE-2009-2906
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:リモートの攻撃者から、サービス運用妨害を受ける可能性がある。
説明:SMB「oplock」中断通知を Samba で処理する際に、無限ループが発生する場合があります。リモートの攻撃者が、smbd に無限ループを発生させ、これにより CPU リソースが過度に消費される可能性があります。この問題は「oplock」中断通知の処理を改善することで解決されています。
Tomcat
CVE-ID:CVE-2009-0580、CVE-2009-0033、CVE-2009-0783、CVE-2008-5515、CVE-2009-0781、CVE-2009-2901、CVE-2009-2902、CVE-2009-2693
対象 OS:Mac OS X Server v10.5.8、Mac OS X Server v10.6 ~ v10.6.2
影響:Tomcat 6.0.18 に複数の脆弱性がある。
説明:Tomcat における複数の脆弱性が原因で、最も深刻な場合は、クロスサイトスクリプティングが発生する可能性があります。Tomcat をバージョン 6.0.24 にアップデートすることにより、この問題に対応しています。Tomcat は Mac OS X Server システムでのみ提供されています。詳しくは、Tomcat のサイトを参照してください。http://tomcat.apache.org/
unzip
CVE-ID:CVE-2008-0888
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:unzip コマンドツールを使用して、悪意を持って作成された zip ファイルを抽出すると、アプリケーションが予期せず終了したり、コードが実行されたりする可能性がある。
説明:zip ファイルの処理に、未初期化ポインタに関する問題があります。unzip コマンドツールを使用して、悪意を持って作成された zip ファイルを抽出すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、zip ファイルの検証を強化することで解決されています。この問題は Mac OS X v10.6 システムでは発生しません。
vim
CVE-ID:CVE-2008-2712、CVE-2008-4101、CVE-2009-0316
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:vim 7.0 に複数の脆弱性がある。
説明:vim 7.0 における複数の脆弱性が原因で、最も深刻な場合は、悪意を持って作成されたファイルの処理時に任意のコードが実行される可能性があります。これらの問題は、vim 7.2.102 にアップデートすることによって解決されています。また、Mac OS X v10.6 システムには影響しません。詳しくは、vim の Web サイトを参照してください。http://www.vim.org/
Wiki Server
CVE-ID:CVE-2010-0523
対象 OS:Mac OS X Server v10.5.8
影響:悪意を持って作成されたアプレットをアップロードすることにより、機密情報が漏洩する可能性がある。
説明:Wiki Server では、ユーザに Java アプレットなどのアクティブコンテンツのアップロードが許可されています。悪意を持って作成されたアプレットをアップロードし、Wiki Server のユーザにこれを表示させることにより、リモートの攻撃者が機密情報を入手する可能性があります。この問題は、特定の添付ファイルをダウンロードするため専用の 1 回限りの認証 Cookie を使うことで解決されています。この問題の影響があるのは Mac OS X Server システムだけです。また、バージョン 10.6 以降には影響しません。
Wiki Server
CVE-ID:CVE-2010-0534
対象 OS:Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:認証済みユーザが weblog 作成制限を回避できる可能性がある。
説明:Wiki Server はサービスアクセス制御リスト (SACL) をサポートし、管理者がコンテンツの公開を制御できるようにしています。Wiki Server で、ユーザの weblog 作成中に weblog SACL の参照に失敗すると、サービス ACL によって公開が禁止されていても、認証済みユーザがコンテンツを Wiki Server に公開できる可能性があります。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
X11
CVE-ID:CVE-2009-2042
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:悪意を持って作成された画像を表示すると、機密情報が漏洩する可能性がある。
説明:libpng がバージョン 1.2.37 にアップデートされ、機密情報の漏洩につながる可能性がある問題が解決されました。詳しくは、libpng の Web サイトを参照してください。http://www.libpng.org/pub/png/libpng.html
X11
CVE-ID:CVE-2003-0063
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.2、Mac OS X Server v10.6 ~ v10.6.2
影響:xterm ターミナルで悪意を持って作成されたデータを表示すると、任意のコードが実行される可能性がある。
説明:xterm プログラムはウインドウタイトルを変更して、ターミナルに出力するコマンドシーケンスをサポートしています。ターミナルに返される情報は、ユーザからのキーボード入力と同等に表示されます。悪意を持って作成された、このようなシーケンスを含むデータを xterm ターミナルに表示すると、コマンドインジェクションが発生する可能性があります。この問題は、関連のコマンドシーケンスを無効化することによって解決されています。
xar
CVE-ID:CVE-2010-0055
対象 OS:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:変更されたパッケージが、有効に署名されているかのように表示される。
説明:xar では、パッケージの署名の検証に設計上の問題があります。これにより、変更されたパッケージが有効に署名されているかのように表示される可能性があります。この問題は、パッケージの署名の検証を強化することで解決されています。この問題は Mac OS X v10.6 システムでは発生しません。功績:Apple
重要:他社の Web サイトや製品に関する情報は、情報提供の目的でのみ記載されているものであり、これを支持または推奨するものではありません。Apple は、他社の Web サイトに掲載されている情報や製品の選択、性能、使用については一切責任を負いません。Apple は、お客様の便宜目的にのみ、これらの情報を提供するものであり、他社の Web サイトに掲載されている情報については審査しておらず、その正確性や信頼性については一切保証しておりません。インターネット上のあらゆる情報や製品の使用には本来リスクが伴うものであり、この点に関して Apple はいかなる責任も負いません。他社のサイトはそれぞれ独自に運営されており、Apple が他社の Web サイトの内容を管理しているわけではないことをご理解ください。詳しくは、各社にお問い合わせください。