セキュリティアップデート 2010-005 について

セキュリティアップデート 2010-005 について説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

セキュリティアップデート 2010-005

  • ATS

    CVE-ID:CVE-2010-1808

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。

    説明:Apple Type Services による埋め込みフォントの処理時、スタックバッファオーバーフローが引き起こされ、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。この問題は、配列境界チェック機能を改善することで解消されています。

  • CFNetwork

    CVE-ID:CVE-2010-1800

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:ネットワーク上で特権的な地位を悪用した攻撃者により、ユーザの資格情報またはその他の機微情報を取得される場合がある。

    説明:CFNetwork で匿名の TLS/SSL 接続が許可されることにより、中間者攻撃を行う攻撃者が接続をリダイレクトして、ユーザの資格情報やその他の機微情報を取得できる可能性があります。この問題は、メールアプリケーションには影響ありません。この問題は、匿名の TLS/SSL 接続を無効にすることで解決されています。この問題は、Mac OS X v10.6.3 以前のシステムでは発生しません。この問題の報告は、vtty.com の Aaron Sigel 氏、Citrix の Jean-Luc Giraud 氏、Sirius IT の Tomas Bjurman 氏、および Google, Inc. の Wan-Teh Chang 氏の功績によるものです。

  • ClamAV

    CVE-ID:CVE-2010-0098、CVE-2010-1311

    対象となるバージョン:Mac OS X Server v10.5.8、Mac OS X Server v10.6.4

    影響:ClamAV に複数の脆弱性がある。

    説明:ClamAV に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV 0.96.1 にアップデートすることで、問題が解決されています。ClamAV は Mac OS X Server システムにのみ提供されています。詳しくは、次の ClamAV Web サイトを参照してください。http://www.clamav.net/

  • CoreGraphics

    CVE-ID:CVE-2010-1801

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:CoreGraphics による PDF ファイルの処理時、ヒープバッファオーバーフローが引き起こされ、悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。この問題は、配列境界チェック機能を改善することで解消されています。この問題の報告は、Check Point Vulnerability Discovery Team (VDT) の Rodrigo Rubira Branco 氏の功績によるものです。

  • libsecurity

    CVE-ID:CVE-2010-1802

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:ネットワーク上で特権的な地位を悪用した攻撃者が本物のドメイン名と最後の 1 文字だけが異なるドメイン名を取得し、本物のドメインのホストになりすます可能性がある。

    説明:認証書のホスト名の処理に問題があり、3 つ以上の構成要素から成るホスト名の場合は残りの文字が正しく比較されず、3 つの構成要素から成る名前の場合は最後の 1 文字のみが検証されません。たとえば、ネットワーク上で特権的な地位を悪用した攻撃者が、www.example.con の証明書を入手して www.example.com になりすます可能性があります。この問題は、証明書のホスト名の処理を改善することにより解決されています。この問題の報告は、Peter Speck 氏の功績によるものです。

  • PHP

    CVE-ID:CVE-2010-1205

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成された PNG 画像を読み込むと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:PHP の libpng ライブラリでバッファオーバーフローが発生し、悪意を持って作成された PNG 画像を読み込むと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、PHP 内の libpng をバージョン 1.4.3 にアップデートすることで解決されています。この問題は、Mac OS X v10.6 以前のシステムでは発生しません。

  • PHP

    CVE-ID:CVE-2010-1129、CVE-2010-0397、CVE-2010-2225、CVE-2010-2484

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:PHP 5.3.1 に複数の脆弱性がある。

    説明:PHP は複数の脆弱性に対処するためにバージョン 5.3.2 にアップデートされています。こうした脆弱性に起因する最も深刻な問題として、任意のコードが実行される可能性があります。詳しくは、次の PHP の Web サイトを参照してください。http://www.php.net/

  • Samba

    CVE-ID:CVE-2010-2063

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:未認証のリモート攻撃者によって、サービス運用妨害が引き起こされたり任意のコードが実行されたりする可能性がある。

    説明:Samba でバッファオーバーフローが発生します。未認証のリモート攻撃者によって、悪意を持って作成されたパケットが送信されると、サービス運用妨害が引き起こされたり任意のコードが実行されたりする可能性があります。この問題は、Samba のパケットの検証を強化することで解決されています。

重要:他社の Web サイトや製品に関する情報は、情報提供の目的でのみ記載されているものであり、これを支持または推奨するものではありません。Apple は、他社の Web サイトに掲載されている情報や製品の選択、性能、使用については一切責任を負いません。Apple は、お客様の便宜目的にのみ、これらの情報を提供するものであり、他社の Web サイトに掲載されている情報については審査しておらず、その正確性や信頼性については一切保証しておりません。インターネット上のあらゆる情報や製品の使用には本来リスクが伴うものであり、この点に関して Apple はいかなる責任も負いません。他社のサイトはそれぞれ独自に運営されており、Apple が他社の Web サイトの内容を管理しているわけではないことをご理解ください。詳しくは、各社にお問い合わせください。

公開日: