iPhone 用 iOS 4.2.7 ソフトウェアアップデートのセキュリティコンテンツについて
この記事では、iOS 4.2.7 ソフトウェアアップデートのセキュリティコンテンツについて説明します。
iOS 4.2.7 ソフトウェアアップデートのセキュリティコンテンツについて説明します。このアップデートは、iTunes を使ってダウンロードしてインストールすることができます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
iPhone 用 iOS 4.2.7 ソフトウェアアップデート
Certificate Trust Policy
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:ネットワーク上で特権的な地位を悪用した攻撃者により、ユーザの資格情報またはその他の機微情報が取得される可能性がある。
説明:Comodo 関連登録機関によって複数の不正な SSL 証明書が発行されたことにより、中間者攻撃を行う攻撃者が接続をリダイレクトして、ユーザの資格情報やその他の機微情報を取得できる可能性があります。この問題は、不正な証明書をブラックリストに追加することによって解決されています。
注:Mac OS X システムについては、セキュリティアップデート 2011-002 でこの問題に対応しています。Windows システムの場合、Safari はホストのオペレーティングシステムの証明書ストアに依拠して、SSL サーバの証明書が信頼できるかどうかを判断します。Microsoft Knowledge Base 2524375 に記載されているアップデートを適用すると、これらの証明書が Safari によって信頼できないとみなされます。この Microsoft 社の文書は次のページから参照できます。http://support.microsoft.com/kb/2524375
QuickLook
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される場合がある。
説明:クイックルックによる Microsoft Office ファイルの処理にの処理に、メモリ破損の問題がありました。悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1417:TippingPoint の Zero Day Initiative に協力している Charlie Miller 氏および Dion Blazakis 氏
WebKit
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:ノードセットの処理に、整数オーバーフローの問題があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1290:Vincenzo Iozzo 氏、Willem Pinckaers 氏、Ralf-Philipp Weinmann 氏、TippingPoint の Zero Day Initiative に協力する匿名の研究者
WebKit
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:テキストノードの処理に、解放済みメモリ使用 (use-after-free) の脆弱性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1344:TippingPoint の Zero Day Initiative に協力する Vupen Security、および Martin Barbella 氏
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。