iOS 6.1.3 のセキュリティコンテンツについて

iOS 6.1.3 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

他のセキュリティアップデートについてはこちらの記事 を参照してください。

iOS 6.1.3

• dyld

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：ローカルユーザが署名されていないコードを実行する可能性がある。

  説明：セグメントが重複している Mach-O 実行可能ファイルの処理にステータス管理の問題が存在します。この問題は、セグメントが重複している実行可能ファイルを読み込まないことで解決されました。

  CVE-ID

  CVE-2013-0977：evad3rs

• カーネル

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：ローカルユーザが、カーネルの構造のアドレスを決定できる可能性がある。

  説明：ARM プリフェッチ中止ハンドラーに情報漏洩の問題が存在します。この問題は、プリフェッチ中止ハンドラーが中止コンテキストから呼び出されない場合にパニックを発生させることで解決されました。

  CVE-ID

  CVE-2013-0978：evad3rs

• ロックダウン

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：ローカルユーザが任意のファイルのアクセス権を変更できる可能性がある。

  説明：バックアップから復元したときに、特定のファイルのアクセス権が、そのファイルのパスにシンボリックリンクが含まれている場合でも、ロックダウンによって変更されます。この問題は、パスにシンボリックリンクが含まれる任意のファイルのアクセス権を変更しないことで解決されました。

  CVE-ID

  CVE-2013-0979：evad3rs

• パスコードロック

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：デバイスに物理的にアクセスできる人物に対し、画面のロックが機能しない可能性がある。

  説明：ロック画面からの緊急電話の処理にロジックの問題が存在します。この問題はロックのステータス管理を改善したことで解消されました。

  CVE-ID

  CVE-2013-0980：theMedium.ca (videosdebarraquito) の Christopher Heffley 氏

• USB

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：ローカルユーザがカーネル内の任意のコードを実行する可能性がある。

  説明：IOUSBDeviceFamily ドライバが、ユーザ空間からのパイプオブジェクトポインタを使用しました。この問題は、パイプオブジェクトポインタの追加検証を実行することで解決されました。

  CVE-ID

  CVE-2013-0981：evad3rs

• WebKit

  対象となるデバイス：iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

  影響：細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  説明：SVG ファイルの処理に不正なキャストの問題が存在します。この問題は、type checking を改良したことで解決されました。

  CVE-ID

  CVE-2013-0912：HP TippingPoint 社の Zero Day Initiative に協力する MWR Lab の Nils 氏と Jon 氏