セキュリティアップデート 2010-003 のコンテンツについて
セキュリティアップデート 2010-003 について説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
セキュリティアップデート 2010-003
ATS
CVE-ID:CVE-2010-1120
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.3、Mac OS X Server v10.6.3
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
説明:Apple Type Services が埋め込みフォントを処理する際、インデックスがチェックされない問題が存在します。このため、悪意を持って作成された フォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。この問題は、インデックスチェック機能を改善することで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に所属する Charlie Miller 氏の功績によるものです。
重要:Apple 製以外の製品に関する情報は、あくまで参考情報であり、Apple はこれらの製品を推奨するものでも保証するものでもありません。詳しくは、各社にお問い合わせください。