ここでは、Mac OS X v10.6.7 のセキュリティコンテンツおよびセキュリティアップデート 2011-001 について説明します。このアップデートは、システム環境設定の「ソフトウェア・アップデート」パネル、または サポートダウンロード からダウンロードしてインストールできます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。
CVE ID を使って脆弱性を調べることもできます。
ほかのセキュリティアップデートについてはこちらの記事を参照してください。
Mac OS X v10.6.7 およびセキュリティアップデート 2011-001
AirMac
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:Wi-Fi に接続すると、同じネットワーク上の攻撃者によるシステムのリセットが可能になる可能性がある。
説明:Wi-Fi フレームの処理で、ゼロ除算が発生する可能性があります。このため、Wi-Fi に接続すると、同じネットワーク上の攻撃者によって、システムがリセットされる可能性があります。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2011-0172
Apache
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:Apache 2.2.15 に複数の脆弱性がある。
説明:Apache は、複数の脆弱性に対処するためにバージョン 2.2.17 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、サービス拒否が生じることがあります。詳細は、Apache の Web サイト から入手できます。
CVE-ID
CVE-2010-1452
CVE-2010-2068
AppleScript
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:信頼できない入力がダイアログに渡される AppleScript Studio ベースのアプリケーションを実行すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:AppleScript Studio の汎用ダイアログコマンド (「display dialog」や「display alert」など) に、書式文字列の脆弱性が存在します。このため、信頼できない入力がダイアログに渡される AppleScript Studio ベースのアプリケーションを実行すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0173:Alexander Strange 氏
ATS
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。
説明:OpenType フォントの処理で、ヒープバッファのオーバーフローが発生する可能性があります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0174
ATS
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。
説明:TrueType フォントの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0175:Mozilla の Christoph Diehl 氏、Google Security Team の Felix Grobert 氏、Red Hat Security Response Team の Marc Schoenefeld 氏、Google Security Team の Tavis Ormandy 氏および Will Drewry 氏
ATS
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。
説明:Type 1 フォントの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0176:Google Security Team の Felix Grobert 氏、TippingPoint の Zero Day Initiative に協力している匿名の研究者
ATS
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。
説明:SFNT テーブルの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0177:Red Hat Security Response Team の Marc Schoenefeld 氏
bzip2
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:コマンドライン bzip2 または bunzip2 ツールを使って bzip2 ファイルを解凍すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:bzip2 による bzip2 圧縮ファイルの処理に、整数オーバーフローの脆弱性が存在します。このため、コマンドライン bzip2 または bunzip2 ツールを使って bzip2 ファイルを解凍すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2010-0405
CarbonCore
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:FSFindFolder() を使うアプリケーションで、kTemporaryFolderType フラグを指定すると、ローカルで情報が漏洩する可能性がある。
説明:FSFindFolder() API で kTemporaryFolderType フラグを指定すると、全ユーザに読み取り権限があるディレクトリが返されます。この問題は、プロセスを実行しているユーザのみが読み取れるディレクトリを返すことによって解消されています。
CVE-ID
CVE-2011-0178
ClamAV
対象となるバージョン:Mac OS X Server v10.5.8、Mac OS X Server v10.6.6
影響:ClamAV に複数の脆弱性がある。
説明:ClamAV に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV 0.96.5 にアップデートすることで、問題が解決されています。ClamAV は Mac OS X Server システムにのみ提供されています。詳しくは、ClamAV の Web サイト から入手できます。
CVE-ID
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479
CoreText
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。
説明:CoreText によるフォントファイルの処理には、メモリ破損の原因となる問題があります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0179:Mozilla の Christoph Diehl 氏
ファイルの隔離
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:定義を追加
説明:悪意のあるソフトウェアを検出するため、ファイルの隔離に、OSX.OpinionSpy の定義が追加されました。
HFS
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:HFS、HFS+、または HFS+J ファイルシステムから、ローカルユーザが任意のファイルを読み込める可能性がある。
説明:F_READBOOTSTRAP ioctl の処理に、整数オーバーフローの脆弱性が存在します。このため、HFS、HFS+、または HFS+J ファイルシステムから、ローカルユーザが任意のファイルを読み込める可能性があります。
CVE-ID
CVE-2011-0180:Virtual Security Research の Dan Rosenberg 氏
ImageIO
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:ImageIO による JPEG 画像の処理に、ヒープベースのバッファオーバーフローの脆弱性が存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-0170:iDefense VCP と協力する Andrzej Dyjak 氏
ImageIO
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意をもって作成された XBM 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:ImageIO による XBM 画像の処理に、整数オーバーフローの脆弱性が存在します。このため、悪意をもって作成された XBM 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0181:Harry Sintonen 氏
ImageIO
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libTIFF による JPEG エンコードの TIFF 画像の処理に、バッファオーバーフローの脆弱性が存在します。悪意をもって作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-0191:Apple
ImageIO
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libTIFF による CCITT Group 4 エンコードの TIFF 画像の処理に、バッファオーバーフローの脆弱性が存在します。悪意をもって作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-0192:Apple
ImageIO
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意をもって作成された JPEG エンコードの TIFF 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:ImageIO による JPEG エンコードの TIFF 画像の処理に、整数オーバーフローの脆弱性が存在します。悪意をもって作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2011-0194:NGS Secure の Dominic Chell 氏
画像 RAW
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された Canon RAW 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Image RAW による Canon RAW 画像の処理に、バッファオーバーフローの脆弱性が存在します。このため、悪意を持って作成された Canon RAW 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0193:NGS Secure の Paul Harrington 氏
Installer
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがログインすると任意のサーバにアクセスするエージェントがインストールされ、ユーザは Apple にアクセスしようとしたと誤解する可能性がある。
説明:Install Helper には URL 処理に問題があるため、ユーザがログインすると任意のサーバにアクセスするエージェントがインストールされる可能性があります。接続に失敗したというダイアログが表示され、これにより、Apple にアクセスしようとしたとユーザが誤解する可能性があります。この問題は、Install Helper を削除することによって解消されています。
CVE-ID
CVE-2011-0190:vtty.com の Aaron Sigel 氏
Kerberos
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:MIT Kerberos 5 に複数の脆弱性がある。
説明:MIT Kerberos 5 には、暗号に関する問題が複数あります。Mac OS X v10.5 に影響があるのは CVE-2010-1323 のみです。この問題および適用するパッチに関する詳細は、MIT Kerberos の Web サイト を参照してください。
CVE-ID
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021
カーネル
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行する可能性がある。
説明:i386_set_ldt システム呼び出しによる call gate の処理に、権限チェックに関する問題があります。このため、ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性があります。この問題は、i386_set_ldt() を介した call gate の入力を禁止することによって解消されています。
CVE-ID
CVE-2011-0182:Jeff Mears 氏
Libinfo
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:リモートの攻撃者が、NFS ファイルシステムを書き出すホストで、サービス拒否攻撃を実行できる可能性がある。
説明:Libinfo による NFS RPC パケットの処理で、整数の切り捨てが発生する可能性があります。このため、リモート攻撃によって、lockd、statd、mountd、portmap などの NFS RPC サービスが応答しなくなる可能性があります。
CVE-ID
CVE-2011-0183:デラウェア大学の Peter Schwenk 氏
libxml
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libxml による XPath の処理に、メモリ破損の問題が存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2010-4008:Bkis 社 (www.bkis.com) の Bui Quang Minh 氏
libxml
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libxml による XPath 式の処理に、ダブルフリーの問題が存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2010-4494:NCNIPC、Graduate University of Chinese Academy of Sciences の Yang Dingning 氏
Mailman
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:Mailman 2.1.13 に複数の脆弱性がある。
説明:Mailman 2.1.13 には、クロスサイトスクリプティングの原因となる問題が複数あります。これらの問題は、Mailman を バージョン 2.1.14 にアップデートすることによって解消されています。詳細については、Mailman の Web サイトを参照してください。
CVE-ID
CVE-2010-3089
PHP
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:PHP 5.3.3 に複数の脆弱性がある。
説明:PHP は複数の脆弱性に対処するためにバージョン 5.3.4 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。詳しくは、PHP の Web サイト を参照してください。
CVE-ID
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
PHP
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:PHP 5.2.14 に複数の脆弱性がある。
説明:PHP は、複数の脆弱性に対処するためにバージョン 5.2.15 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。詳しくは、PHP の Web サイト (http://www.php.net/) を参照してください。
CVE-ID
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150
クイックルック
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された Excel ファイルをダウンロードすると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:クイックルックによる Excel ファイルの処理に、メモリ破損の原因となる問題があります。悪意を持って作成された Excel ファイルをダウンロードすると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2011-0184:Verisign iDefense Labs に協力している Tobias Klein 氏
クイックルック
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された Microsoft Office ファイルをダウンロードすると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:クイックルックによる Microsoft Office ファイルの処理に、メモリ破損の原因となる問題があります。悪意を持って作成された Microsoft Office ファイルをダウンロードすると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-1417:TippingPoint の Zero Day Initiative に協力している Charlie Miller 氏および Dion Blazakis 氏
QuickTime
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された JPEG2000 画像を QuickTime で表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:QuickTime による JPEG2000 画像の処理に、メモリ破損の原因となる問題が複数あります。このため、悪意を持って作成された JPEG2000 画像を QuickTime で表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2011-0186:Will Dormann of the CERT/CC
QuickTime
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:QuickTime によるムービーファイルの処理に、整数オーバーフローの脆弱性が存在します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。Mac OS X v10.5 の場合、この問題は QuickTime 7.6.9 では解消されています。
CVE-ID
CVE-2010-4009:Fortinet's FortiGuard Labs の Honggang Ren 氏
QuickTime
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された FlashPix 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。
説明:QuickTime による FlashPix 画像の処理に、メモリ破損の原因となる問題があります。悪意を持って作成された FlashPix 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.5 の場合、この問題は QuickTime 7.6.9 では解消されています。
CVE-ID
CVE-2010-3801:TippingPoint の Zero Day Initiative に協力している Damian Put 氏、Check Point Vulnerability Discovery Team の Rodrigo Rubira Branco 氏
QuickTime
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性がある。
説明:QuickTime プラグインによるクロスサイトのリダイレクト処理には、クロスオリジンの原因となる問題があります。このため、悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性があります。この問題は、QuickTime でクロスサイトのリダイレクトを禁止することによって解消されています。
CVE-ID
CVE-2011-0187:Nirankush Panchbhai 氏および Microsoft Vulnerability Research (MSVR)
QuickTime
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:QuickTime による QTVR (QuickTime Virtual Reality) ムービーファイルのパノラマアトムの処理に、メモリ破損の原因となる問題があります。悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.5 の場合、この問題は QuickTime 7.6.9 では解消されています。
CVE-ID
CVE-2010-3802:TippingPoint の Zero Day Initiative に協力している匿名の研究者
Ruby
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:信頼できない入力値を使って BigDecimal オブジェクトを作成する Ruby スクリプトを実行すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Ruby による BigDecimal クラスには整数の切り捨て原因となる問題があります。このため、信頼できない入力値を使って BigDecimal オブジェクトを作成する Ruby スクリプトを実行すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。この問題が発生するのは、64 ビットの Ruby プロセスのみです。
CVE-ID
CVE-2011-0188:Apple
Samba
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:SMB ファイル共有が有効になっている場合、リモートの攻撃者によって、サービス拒否攻撃が実行されたり、任意のコードが実行される可能性がある。
説明:Samba による Windows セキュリティ ID の処理に、スタックバッファのオーバーフローの脆弱性が存在します。このため、SMB ファイル共有が有効になっている場合、リモートの攻撃者によって、サービス拒否攻撃が実行されたり、任意のコードが実行される可能性があります。
CVE-ID
CVE-2010-3069
Subversion
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:デフォルトではない「SVNPathAuthz short_circuit」mod_dav_svn 構成設定を使用する Subversion サーバで、不正なユーザがレポジトリの一部にアクセスできる可能性がある。
説明:デフォルトではない「SVNPathAuthz short_circuit」mod_dav_svn 構成設定を使用する Subversion サーバで、不正なユーザがレポジトリの一部にアクセスできる可能性があります。この問題は、Subversion をバージョン 1.6.13 にアップデートすることで解消されています。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2010-3315
ターミナル
対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:ターミナルの「新規リモート接続」ダイアログで、ssh を使用すると、SSH バージョン 1 がデフォルトのプロトコルバージョンとして選択される。
説明:ターミナルの「新規リモート接続」ダイアログで、ssh を使用すると、SSH バージョン 1 がデフォルトのプロトコルバージョンとして選択されます。この問題は、デフォルトのプロトコルバージョンを「自動」に変更することによって解消されています。この問題は、Mac OS X v10.6 より前のシステムでは発生しません。
CVE-ID
CVE-2011-0189:HNW Inc. の Matt Warren 氏
X11
対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6
影響:FreeType に複数の脆弱性がある。
説明:FreeType に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、悪意を持って作成されたフォントを処理した場合に、任意のコードが実行される可能性があります。この問題は、FreeType をバージョン 2.4.4 にアップデートすることで解決されています。詳細情報については、FreeType の Web サイト (http://www.freetype.org/) を参照してください。
CVE-ID
CVE-2010-3814
CVE-2010-3855