iOS 4.3.2 ソフトウェア・アップデートのセキュリティコンテンツについて

この記事では、iOS 4.3.2 ソフトウェアアップデートのセキュリティコンテンツについて説明します。

iOS 4.3.2 ソフトウェア・アップデートのセキュリティコンテンツについて説明します。このアップデートは、iTunes を使って ダウンロードしてインストールすることができます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

他のセキュリティアップデートについてはこちらの記事 を参照してください。

iOS 4.3.2 ソフトウェア・アップデート

  • 証明書信頼ポリシー

    対象となるバージョン:iPhone 3GS 以降:iOS 3.0 ~ 4.3.1、iPod touch (第 3 世代) 以降:iOS 3.1 ~ 4.3.1、iPad:iOS 3.2 ~ 4.3.1

    影響:特権のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。

    説明:複数の不正な SSL 証明書が Comodo 関連登録機関によって発行されました。これにより、中間者攻撃を行う者が接続をリダイレクトして、ユーザの資格情報またはその他の機密情報を攻撃することができました。この問題は、不正な証明書をブラックリストに追加することによって解決できます。

    注意:Mac OS X システムについては、セキュリティアップデート 2011-002 でこの問題に対応しています。Windows システムの場合、Safari は、SSL サーバの証明書が信頼できるものかどうかの判断をホストのオペレーティングシステムの証明書ストアに依存しています。Microsoft Knowledge Base 2524375 で説明されているアップデートを適用すると、これらの証明書が Safari によって信頼できないとみなされます。この Microsoft 社の文書は こちら から参照できます。

  • libxslt

    対象となるバージョン:iPhone 3GS 以降:iOS 3.0 ~ 4.3.1、iPod touch (第 3 世代) 以降:iOS 3.1 ~ 4.3.1、iPad:iOS 3.2 ~ 4.3.1

    影響:悪意を持って作成された Web サイトを閲覧すると、ヒープ上のアドレスが漏洩する可能性がある。

    説明:libxlt での、XPath 関数の generate-id() の実装により、ヒープバッファのアドレスが漏洩する可能性があります。悪意を持って作成された Web サイトを閲覧すると、ヒープ上のアドレスが漏洩し、アドレス空間レイアウトのランダム化機能が無視される場合があります。この問題は、2 つのヒープバッファ間の差異に基づいて ID を生成することによって解決されます。

    CVE-ID

    CVE-2011-0195:Google Chrome Security Team の Chris Evans 氏

  • クイックルック

    対象となるバージョン:iPhone 3GS 以降:iOS 3.0 ~ 4.3.1、iPod touch (第 3 世代) 以降:iOS 3.1 ~ 4.3.1、iPad:iOS 3.2 ~ 4.3.1

    影響:悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される場合がある。

    説明:クイックルックによる Microsoft Office ファイルの処理には、メモリ破損の原因となる問題があります。悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。

    CVE-ID

    CVE-2011-1417:TippingPoint の Zero Day Initiative に協力している Charlie Miller 氏および Dion Blazakis 氏

  • WebKit

    対象となるバージョン:iPhone 3GS 以降:iOS 3.0 ~ 4.3.1、iPod touch (第 3 世代) 以降:iOS 3.1 ~ 4.3.1、iPad:iOS 3.2 ~ 4.3.1

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:ノードセットの処理において、整数のオーバーフローの問題があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。

    CVE-ID

    CVE-2011-1290:Vincenzo Iozzo 氏、Willem Pinckaers 氏、Ralf-Philipp Weinmann 氏、TippingPoint の Zero Day Initiative に協力する匿名の研究者

  • WebKit

    対象となるバージョン:iPhone 3GS 以降:iOS 3.0 ~ 4.3.1、iPod touch (第 3 世代) 以降:iOS 3.1 ~ 4.3.1、iPad:iOS 3.2 ~ 4.3.1

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:テキストノードの処理において、解放後使用の問題があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。

    CVE-ID

    CVE-2011-1344:TippingPoint の Zero Day Initiative に協力する Vupen Security、および Martin Barbella 氏

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: