OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて

OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて説明します。

これらはシステム環境設定の「ソフトウェアアップデート」パネル、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004

• Apache

  対象OS：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：Apache に複数の脆弱性がある。

  説明：Apache に複数の脆弱性が存在します。これらの脆弱性に起因する最も深刻な問題として、クロスサイトスクリプティングが発生する可能性があります。この問題は、Apache をバージョン 2.2.24 にアップデートすることによって解消されました。

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  対象OS：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：BIND に複数の脆弱性がある。

  説明：BIND に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、サービス運用妨害が発生する可能性があります。この問題は、BIND をバージョン 9.8.5-P1 にアップデートすることで解消されました。CVE-2012-5688 は、Mac OS X v10.7 システムでは発生しません。

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：ルート証明書がアップデートされた。

  説明：複数の証明書が、システムルートのリストに追加されたり、リストから削除されたりしました。認識されているシステムルートの完全なリストは、キーチェーンアクセスアプリケーションで確認できます。

• ClamAV

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5

  影響：ClamAV に複数の脆弱性がある。

  説明：ClamAV に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV をバージョン 0.97.8 にアップデートすることで問題が解消されています。

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  対象OS：OS X Mountain Lion v10.8 ～ v10.8.4

  影響：悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  説明：PDF ファイルの JBIG2 エンコードデータの処理時にバッファオーバーフローが引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

  CVE-ID

  CVE-2013-1025：Google Security Team の Felix Groebert 氏

• ImageIO

  対象OS：OS X Mountain Lion v10.8 ～ v10.8.4

  影響：悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  説明：PDF ファイルの JPEG2000 エンコードデータの処理時にバッファオーバーフローが引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

  CVE-ID

  CVE-2013-1026：Google Security Team の Felix Groebert 氏

• Installer

  対象OS：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：証明書の失効後でもパッケージを開くことができる。

  説明：インストーラが失効済みの証明書を検出するとダイアログが表示されますが、このダイアログに次に進むオプションが表示されます。この問題は、ダイアログを削除し、失効したパッケージをすべて拒否することによって解消されました。

  CVE-ID

  CVE-2013-1027

• IPSec

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：IPSec Hybrid Authで保護されているデータを攻撃者が取得できる可能性がある。

  説明：IPSec Hybrid Auth サーバの DNS 名が証明書と一致しないため、任意のサーバの証明書を持つ攻撃者がほかのサーバの証明書を持っているように装うことができました。この問題は、証明書を適切にチェックすることで解消されました。

  CVE-ID

  CVE-2013-1028：www.traud.de の Alexander Traud 氏

• Kernel

  対象OS：OS X Mountain Lion v10.8 ～ v10.8.4

  影響：ローカルネットワークユーザによってサービス運用妨害が引き起こされる可能性がある。

  説明：カーネルでの IGMP パケット解析コードに誤ってチェックマークを入れると、IGMP パケットをシステムに送信できるユーザによってカーネルパニックが引き起こされる可能性があります。この問題は、チェックマークを削除することで解消されました。

  CVE-ID

  CVE-2013-1029：PROTECTSTAR INC. の Christopher Bohn 氏

• Mobile Device Management

  対象OS：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：パスワードがほかのローカルユーザに開示される可能性がある。

  説明：パスワードは MDM クライアントにコマンドラインで渡されますが、同じシステム上のほかのユーザにそのパスワードが見える状態になっていました。この問題は、パイプ経由でパスワードを送信することで解消されました。

  CVE-ID

  CVE-2013-1030：ヨーテボリ大学の Per Olofsson 氏

• OpenSSL

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：OpenSSL に複数の脆弱性がある。

  説明：OpenSSL に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、ユーザデータが開示される可能性があります。この問題は、OpenSSL をバージョン 0.9.8y にアップデートすることで解消されました。

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：PHP に複数の脆弱性がある。

  説明：PHP に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。この問題は、PHP をバージョン 5.3.26 にアップデートすることによって解消されました。

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  対象OS：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：PostgreSQL に複数の脆弱性がある。

  説明：PostgreSQL に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、データ破損や権限昇格が引き起こされる可能性があります。CVE-2013-1901 は OS X Lion システムでは発生しません。このアップデートでは、PostgreSQL を OS X Mountain Lion システムではバージョン 9.1.9 に、OS X Lion システムでは 9.0.4 にアップデートすることで、この問題を解消しています。

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  対象OS：OS X Mountain Lion v10.8 ～ v10.8.4

  影響：指定の時間が経過してもスクリーンセーバが開始されないことがある。

  説明：電源アサーションのロックに問題がありました。この問題は、ロック処理を改良することによって解消されました。

  CVE-ID

  CVE-2013-1031

• QuickTime

  対象OS：Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  説明：QuickTime ムービーファイルの「idsc」アトムの処理時にメモリ破損が引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

  CVE-ID

  CVE-2013-1032：iDefense VCP に協力する Jason Kratzer 氏

• Screen Lock

  対象OS：OS X Mountain Lion v10.8 ～ v10.8.4

  影響：ほかのユーザがすでにログインしている場合、画面共有を利用できるユーザが画面ロックを回避できる可能性がある。

  説明：画面共有セッションの画面ロックの処理に、セッション管理の問題がありました。この問題は、セッショントラッキングの改善によって解消されました。

  CVE-ID

  CVE-2013-1033：Atos IT Solutions の Jeff Grisso 氏、Sébastien Stormacq 氏

• sudo

  対象OS：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ～ v10.8.4

  影響：管理ユーザのアカウントをコントロールできる攻撃者が、そのユーザのパスワードを知らなくても root 権限を取得できる可能性がある。

  説明：攻撃者は、システムクロックを設定することで、以前 sudo が使われたことのあるシステムで sudo を使って root 権限を取得できる可能性があります。OS X では、システムクロックを変更できるのは管理ユーザのみです。この問題は、無効なタイムスタンプをチェックすることで解消されました。

  CVE-ID

  CVE-2013-1775

• 注意：OS X Mountain Lion v10.8.5 では、特定の Unicode 文字列によってアプリケーションが予期せず終了する問題も解消されています。