OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて
OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて説明します。
これらはシステム環境設定の「ソフトウェアアップデート」パネル、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004
Apache
対象OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:Apache に複数の脆弱性がある。
説明:Apache に複数の脆弱性が存在します。これらの脆弱性に起因する最も深刻な問題として、クロスサイトスクリプティングが発生する可能性があります。この問題は、Apache をバージョン 2.2.24 にアップデートすることによって解消されました。
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
対象OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:BIND に複数の脆弱性がある。
説明:BIND に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、サービス運用妨害が発生する可能性があります。この問題は、BIND をバージョン 9.8.5-P1 にアップデートすることで解消されました。CVE-2012-5688 は、Mac OS X v10.7 システムでは発生しません。
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:ルート証明書がアップデートされた。
説明:複数の証明書が、システムルートのリストに追加されたり、リストから削除されたりしました。認識されているシステムルートの完全なリストは、キーチェーンアクセスアプリケーションで確認できます。
ClamAV
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5
影響:ClamAV に複数の脆弱性がある。
説明:ClamAV に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV をバージョン 0.97.8 にアップデートすることで問題が解消されています。
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
対象OS:OS X Mountain Lion v10.8 ~ v10.8.4
影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:PDF ファイルの JBIG2 エンコードデータの処理時にバッファオーバーフローが引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1025:Google Security Team の Felix Groebert 氏
ImageIO
対象OS:OS X Mountain Lion v10.8 ~ v10.8.4
影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:PDF ファイルの JPEG2000 エンコードデータの処理時にバッファオーバーフローが引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1026:Google Security Team の Felix Groebert 氏
Installer
対象OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:証明書の失効後でもパッケージを開くことができる。
説明:インストーラが失効済みの証明書を検出するとダイアログが表示されますが、このダイアログに次に進むオプションが表示されます。この問題は、ダイアログを削除し、失効したパッケージをすべて拒否することによって解消されました。
CVE-ID
CVE-2013-1027
IPSec
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:IPSec Hybrid Authで保護されているデータを攻撃者が取得できる可能性がある。
説明:IPSec Hybrid Auth サーバの DNS 名が証明書と一致しないため、任意のサーバの証明書を持つ攻撃者がほかのサーバの証明書を持っているように装うことができました。この問題は、証明書を適切にチェックすることで解消されました。
CVE-ID
CVE-2013-1028:www.traud.de の Alexander Traud 氏
Kernel
対象OS:OS X Mountain Lion v10.8 ~ v10.8.4
影響:ローカルネットワークユーザによってサービス運用妨害が引き起こされる可能性がある。
説明:カーネルでの IGMP パケット解析コードに誤ってチェックマークを入れると、IGMP パケットをシステムに送信できるユーザによってカーネルパニックが引き起こされる可能性があります。この問題は、チェックマークを削除することで解消されました。
CVE-ID
CVE-2013-1029:PROTECTSTAR INC. の Christopher Bohn 氏
Mobile Device Management
対象OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:パスワードがほかのローカルユーザに開示される可能性がある。
説明:パスワードは MDM クライアントにコマンドラインで渡されますが、同じシステム上のほかのユーザにそのパスワードが見える状態になっていました。この問題は、パイプ経由でパスワードを送信することで解消されました。
CVE-ID
CVE-2013-1030:ヨーテボリ大学の Per Olofsson 氏
OpenSSL
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:OpenSSL に複数の脆弱性がある。
説明:OpenSSL に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、ユーザデータが開示される可能性があります。この問題は、OpenSSL をバージョン 0.9.8y にアップデートすることで解消されました。
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:PHP に複数の脆弱性がある。
説明:PHP に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。この問題は、PHP をバージョン 5.3.26 にアップデートすることによって解消されました。
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
対象OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:PostgreSQL に複数の脆弱性がある。
説明:PostgreSQL に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、データ破損や権限昇格が引き起こされる可能性があります。CVE-2013-1901 は OS X Lion システムでは発生しません。このアップデートでは、PostgreSQL を OS X Mountain Lion システムではバージョン 9.1.9 に、OS X Lion システムでは 9.0.4 にアップデートすることで、この問題を解消しています。
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
対象OS:OS X Mountain Lion v10.8 ~ v10.8.4
影響:指定の時間が経過してもスクリーンセーバが開始されないことがある。
説明:電源アサーションのロックに問題がありました。この問題は、ロック処理を改良することによって解消されました。
CVE-ID
CVE-2013-1031
QuickTime
対象OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:QuickTime ムービーファイルの「idsc」アトムの処理時にメモリ破損が引き起こされる可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1032:iDefense VCP に協力する Jason Kratzer 氏
Screen Lock
対象OS:OS X Mountain Lion v10.8 ~ v10.8.4
影響:ほかのユーザがすでにログインしている場合、画面共有を利用できるユーザが画面ロックを回避できる可能性がある。
説明:画面共有セッションの画面ロックの処理に、セッション管理の問題がありました。この問題は、セッショントラッキングの改善によって解消されました。
CVE-ID
CVE-2013-1033:Atos IT Solutions の Jeff Grisso 氏、Sébastien Stormacq 氏
sudo
対象OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 ~ v10.8.4
影響:管理ユーザのアカウントをコントロールできる攻撃者が、そのユーザのパスワードを知らなくても root 権限を取得できる可能性がある。
説明:攻撃者は、システムクロックを設定することで、以前 sudo が使われたことのあるシステムで sudo を使って root 権限を取得できる可能性があります。OS X では、システムクロックを変更できるのは管理ユーザのみです。この問題は、無効なタイムスタンプをチェックすることで解消されました。
CVE-ID
CVE-2013-1775
注意:OS X Mountain Lion v10.8.5 では、特定の Unicode 文字列によってアプリケーションが予期せず終了する問題も解消されています。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。