OS X Lion v10.7.2 およびセキュリティアップデート 2011-006 のセキュリティコンテンツについて

OS X Lion v10.7.2 およびセキュリティアップデート 2011-006 のセキュリティコンテンツについて説明します。

OS X Lion v10.7.2 およびセキュリティアップデート 2011-006 のセキュリティコンテンツについて説明します。これは、システム環境設定の「ソフトウェア・アップデート」パネル、または サポートダウンロード からダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

他のセキュリティアップデートについてはこちらの記事 を参照してください。
 

OS X Lion v10.7.2 およびセキュリティアップデート 2011-006

  • Apache

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:Apache に複数の脆弱性がある。

    説明:Apache は、複数の脆弱性に対処するためにバージョン 2.2.20 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、サービス拒否が生じることがあります。CVE-2011-0419 は OS X Lion システムには影響しません。詳しくは、Apache の Web サイト (http://httpd.apache.org/) を参照してください。

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • アプリケーションファイアウォール

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された名前を持つバイナリを実行すると、昇格された権限によって任意のコードが実行される可能性がある。

    説明:アプリケーションファイアウォールのデバッグログにフォーマット文字列の脆弱性があります。

    CVE-ID

    CVE-2011-0185:匿名の報告者

  • ATS

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。

    説明:ATS の Type 1 フォントの処理に、符号に関する問題があります。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3437

  • ATS

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。

    説明:ATS の Type 1 フォントの処理に、境界外メモリアクセスの問題があります。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0229:CERT/CC の Will Dormann 氏

  • ATS

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:ATSFontDeactivate API を使うアプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:ATSFontDeactivate API にバッファオーバーフローの問題があります。

    CVE-ID

    CVE-2011-0230:Mozilla の Steven Michaud 氏

  • BIND

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:BIND 9.7.3 に複数の脆弱性がある。

    説明:BIND 9.7.3 にサービス拒否に関する複数の問題があります。これらの問題は BIND をバージョン 9.7.3-P3 にアップデートすることで解消されます。

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:BIND に複数の脆弱性がある。

    説明:BIND にサービス拒否に関する複数の問題があります。これらの問題は BIND をバージョン 9.6-ESV-R4-P3 にアップデートすることで解消されます。

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • 証明書信頼ポリシー

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:ルート証明書が更新された。

    説明:複数の信頼された証明書がシステムルートの一覧に追加されました。既存の証明書の一部も最新バージョンにアップデートされました。認識されたシステムルートの完全なリストは、キーチェーンアクセスアプリケーションで表示できます。

  • CFNetwork

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Safari で受け付けるように設定されていない Cookie が保存される可能性がある。

    説明:CFNetwork の Cookie ポリシーの処理に同期の問題があります。Safari の Cookie に関する環境設定が尊重されず、環境設定ではブロックするように設定された Cookie を、Web サイトが設定することができます。このアップデートでは、Cookie 保存の処理を改善することによってこの問題が解消されています。

    CVE-ID

    CVE-2011-0231:Martin Tessarek 氏、Geeks R Us の Steve Riggins 氏、Justin C. Walker 氏、および Stephen Creswell 氏

  • CFNetwork

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された Web サイトにアクセスすると、機密情報が漏洩する可能性がある。

    説明:CFNetwork の HTTP Cookie の処理に問題があります。悪意を持って作成された HTTP または HTTPS の URL にアクセスすると、CFNetwork がそのドメイン用の Cookie をドメイン外のサーバに誤って送信する可能性があります。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3246:Facebook の Erling Ellingsen 氏

  • CoreFoundation

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成された Web サイトまたは電子メールメッセージを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:CoreFoundation による文字列のトークン化の処理に、メモリ破損の原因となる問題があります。この問題は OS X Lion システムでは発生しません。このアップデートでは、バウンドチェック機能を改良したことで問題が解消されています。

    CVE-ID

    CVE-2011-0259:Apple

  • CoreMedia

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性がある。

    説明:CoreMedia でのクロスサイトのリダイレクト処理には、クロスオリジンの原因となる問題があります。この問題は、オリジン追跡機能を改良することで解消されています。

    CVE-ID

    CVE-2011-0187:Nirankush Panchbhai 氏および Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの処理に、メモリ破損に関する複数の問題があります。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0224:Apple

  • CoreProcesses

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:システムに物理的にアクセスできる人物に対し、画面のロックが部分的に機能しない可能性がある。

    説明:VPN のパスワードプロンプトなど、画面がロックされているときに表示されるシステムウインドウで、画面のロック中のキー入力が受け付けられる可能性があります。この問題は、システムウインドウで画面がロックされているときにはキーストローク要求を行わないようにすることで解消されています。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-0260:University of Washington の Clint Tseng 氏、Michael Kobb 氏、および Adam Kemp 氏

  • CoreStorage

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:FileVault に変換しても既存のデータがすべて消去されない。

    説明:FileVault を有効にした後、ボリュームの最初の約 250 MB がディスク上の未使用領域に暗号化されない状態で残ります。FileVault を有効にする前にボリュームに存在していたデータのみが、暗号化されない状態で残ります。この問題は、FileVault を有効にして、この問題の影響を受ける暗号化されたボリュームを最初に使うときに、該当の領域を消去することで解消されています。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3212:ATC-NY の Judson Powers 氏

  • ファイルシステム

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:特権のあるネットワークポジションを利用する攻撃者が HTTPS サーバ証明書を操作することにより、機密情報が公開される可能性がある。

    説明:HTTPS サーバの WebDAV ボリュームの処理に問題があります。サーバから自動的に検証できない証明書チェーンが提供されると、警告が表示されて接続は終了されますが、ユーザが警告メッセージの「続ける」ボタンをクリックすると、その後、該当のサーバへの接続で、証明証が受け付けられます。特権のあるネットワークポジションを使用する攻撃者が、接続を操作して機密情報を取得したり、ユーザの代わりにサーバ上で操作を行ったりする可能性があります。このアップデートでは、2 回目の接続で受け取られた証明書が、最初にユーザに提供された証明書と同じであるかどうかを検証することで、この問題が解消されています。

    CVE-ID

    CVE-2011-3213:Apple

  • IOGraphics

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:物理的にアクセスできる人物に対し、画面のロックが機能しない可能性がある。

    説明:Apple Cinema Display を使う場合、画面のロックに問題があります。スリープを解除するためのパスワードを要求されるとき、システムがディスプレイスリープモードになっていると、物理的にアクセスできる人物がパスワードを入力しなくてもシステムにアクセスできる場合があります。このアップデートでは、ディスプレイスリープモードでロックされた画面が正常に有効化されるようにすることで、この問題が解消されています。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3214:Apple

  • iChat サーバ

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:リモートの攻撃者によって、Jabber サーバでシステムリソースが過度に消費される可能性がある。

    説明:Extensible Messaging and Presence Protocol (XMPP) 用のサーバ、jabberd2 の XML 外部エンティティの処理に問題があります。jabberd2 で、受信するリクエストの外部エンティティが展開されます。このため、攻撃者がシステムリソースを非常に高速に消費し、サーバの正規ユーザへのサービスが拒否される可能性があります。このアップデートでは、受信するリクエストのエンティティの展開を無効にすることでこの問題が解消されています。

    CVE-ID

    CVE-2011-1755

  • カーネル

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:物理的にアクセスできる人物が、ユーザのパスワードにアクセスできる可能性がある。

    説明:カーネルの DMA 保護のロジックエラーにより、画面ロックではなく、ログインウインドウ、起動、および終了で Firewire DMA が許可されていました。このアップデートでは、ユーザがログインしていないすべての状態で Firewire DMA を防ぐことによって、この問題が解消されています。

    CVE-ID

    CVE-2011-3215:Passware, Inc.

  • カーネル

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:権限のないユーザが、共有ディレクトリにある別のユーザのファイルを削除できる場合がある。

    説明:カーネルのスティッキービットを持つディレクトリにおけるファイル削除処理にロジックエラーがあります。

    CVE-ID

    CVE-2011-3216:Crywolf の Gordon Davisson 氏、Linc Davis 氏、R. Dormer 氏、brainworks Training の Allan Schmid 氏および Oliver Jeckel 氏

  • libsecurity

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された Web サイトまたは電子メールメッセージを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:非標準の証明書失効リストの拡張を解析するとき、エラー処理の問題があります。

    CVE-ID

    CVE-2011-3227:Virginia Tech の Richard Godbee 氏

  • Mailman

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Mailman 2.1.14 に複数の脆弱性がある。

    説明:Mailman 2.1.14 に複数のクロスサイトスクリプティングの問題があります。これらの問題は、HTML 出力での文字のエンコードを改善することによって解消されています。詳しくは、Mailman の Web サイト (http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html) を参照してください。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0707

  • MediaKit

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたディスクを開くと、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:ディスクイメージの処理で、複数のメモリ破損の問題が存在します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3217:Apple

  • Open Directory

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:すべてのユーザが、別のローカルユーザのパスワードデータを読み取ることができる。

    説明:Open Directory に、アクセス制御の問題があります。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-343:Dreyer Network Consultants, Inc の Arek Dreyer 氏、および defenseindepth.net の Patrick Dunstan 氏

  • Open Directory

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:認証済みのユーザが、現在のパスワードを入力しなくても該当のアカウントのパスワードを変更できる。

    説明:Open Directory に、アクセス制御の問題があります。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3436:defenceindepth.net の Patrick Dunstan 氏

  • Open Directory

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:パスワードを入力しなくても、ユーザがログインできる。

    説明:Open Directory が RFC2307 またはカスタムマッピングで LDAPv3 サーバにバインドされ、ユーザに対する AuthenticationAuthority 属性がない場合、LDAP ユーザがパスワードなしでログインを許可されます。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3226:オースティンの The University of Texas の Jeffry Strunk 氏、Colorado Mesa University の Steven Eppler 氏、Institut de Biologie Structurale の Hugh Cole-Baker 氏および Frederic Metoz 氏

  • PHP

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:FreeType の Type 1 フォントの処理に、符号に関する問題があります。この問題は、FreeType をバージョン 2.4.6 にアップデートすることで解消されています。この問題は、OS X Lion より前のシステムでは発生しません。詳しくは、FreeType の Web サイト (http://www.freetype.org/) を参照してください。

    CVE-ID

    CVE-2011-0226

  • PHP

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:libpng 1.4.3 に複数の脆弱性がある。

    説明:libpng は、複数の脆弱性に対処するためにバージョン 1.5.4 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。詳しくは、libpng の Web サイト (http://www.libpng.org/pub/png/libpng.html) を参照してください。

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:PHP 5.3.4 に複数の脆弱性がある。

    説明:PHP は、複数の脆弱性に対処するためにバージョン 5.3.6 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。この問題は OS X Lion システムでは発生しません。詳しくは、PHP の Web サイト (http://www.php.net/) を参照してください。

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • Postfix

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Postfix に複数の脆弱性がある。

    説明:Postfix は、複数の脆弱性に対処するためにバージョン 2.5.14 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、特権のあるネットワークポジションを利用する攻撃者がメールのセッションを操作することにより、暗号化されたトラフィックから機密情報を取得する可能性があります。この問題は OS X Lion システムでは発生しません。詳しくは、Postfix の Web サイト (http://www.postfix.org/announcements/postfix-2.7.3.html) を参照してください。

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:python に複数の脆弱性がある。

    説明:python に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、python プロジェクトで提供されているパッチを適用することで、問題が解消されています。詳しくは、python の Web サイト (http://www.python.org/download/releases/) を参照してください。

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime による 画像の処理には、メモリ破損の原因となる問題が複数あります。

    CVE-ID

    CVE-2011-3228:Apple

  • QuickTime

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの STSC アトムを処理した場合に、ヒープバッファオーバーフローが発生します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0249:TippingPoint 社の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

  • QuickTime

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの STSS アトムを処理した場合に、ヒープバッファオーバーフローが発生します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0250:TippingPoint 社の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

  • QuickTime

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの STSZ アトムを処理した場合に、ヒープバッファオーバーフローが発生します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0251:TippingPoint 社の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

  • QuickTime

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの STTS アトムを処理した場合に、ヒープバッファオーバーフローが発生します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0252:TippingPoint 社の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

  • QuickTime

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:テンプレート HTML を表示するときに、特権のあるネットワークポジションを利用する攻撃者によってローカルドメインでスクリプトが実行される可能性がある。

    説明:QuickTime Player の「Web 用」の書き出し機能には、クロスサイトスクリプティングの問題があります。この機能を使って生成されたテンプレート HTML ファイルは、暗号化されていないオリジンからのスクリプトファイルを参照します。ユーザがローカルでテンプレートファイルを表示すると、特権のあるネットワークポジションを利用する攻撃者によってローカルドメインで悪意のあるスクリプトが実行される可能性があります。この問題は、オンラインスクリプトへの参照を除去することで解消されています。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3218:vtty.com の Aaron Sigel 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime による H.264 エンコードのムービーファイルの処理にバッファオーバーフローの問題があります。

    CVE-ID

    CVE-2011-3219:TippingPoint の Zero Day Initiative に協力する Damian Put 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたムービーファイルによって、メモリのコンテンツが公開される可能性がある。

    説明:QuickTime によるムービーファイル内の URL データの処理には、未初期化メモリアクセスの問題があります。

    CVE-ID

    CVE-2011-3220:TippingPoint 社の Zero Day Initiative に協力する Luigi Auriemma 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime によるムービーファイル内のアトム階層の処理には、実装の問題があります。

    CVE-ID

    CVE-2011-3221:TippingPoint の Zero Day Initiative に協力している匿名の研究者

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成された FlashPix ファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:FlashPix ファイルの処理にバッファオーバーフローの問題が存在します。

    CVE-ID

    CVE-2011-3222:TippingPoint の Zero Day Initiative に協力する Damian Put 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:FLIC ファイルの処理にバッファオーバーフローの問題が存在します。

    CVE-ID

    CVE-2011-3223:TippingPoint 社の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

  • SMB ファイルサーバ

    対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:ゲストユーザが、共有フォルダを閲覧する可能性がある。

    説明:SMB ファイルサーバに、アクセス制御の問題があります。フォルダの共有ポイントレコードに対するゲストアクセスを許可しないことにより、'_unknown' ユーザは共有ポイントを閲覧できなくなりますが、ゲスト (ユーザ 'nobody') ではありません。この問題は、ゲストユーザにアクセス制御を適用することで解消されています。この問題は、OS X Lion より前のシステムでは発生しません。

    CVE-ID

    CVE-2011-3225

  • Tomcat

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Tomcat 6.0.24 に複数の脆弱性がある。

    説明:Tomcat は、複数の脆弱性に対処するためにバージョン 6.0.32 にアップデートされています。それらの脆弱性に起因するもっとも深刻な問題として、クロスサイトスクリプティング攻撃があります。Tomcat は Mac OS X Server のみに提供されています。この問題は OS X Lion システムでは発生しません。詳しくは、Tomcat の Web サイト (http://tomcat.apache.org/) を参照してください。

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • ユーザガイド

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:特権のあるネットワークポジションを利用する攻撃者が App Store のヘルプコンテンツを操作することによって、任意のコードが実行される可能性がある。

    説明:App Store のヘルプコンテンツは HTTP 経由で更新されていました。このアップデートでは、App Store のヘルプコンテンツを HTTPS 経由で更新することで、問題が解消されています。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3224:vtty.com の Aaron Sigel 氏および Brian Mastenbrook 氏

  • Web Server

    対象となるバージョン:Mac OS X Server v10.6.8

    影響:クライアントが、Digest 認証を要求する Web サービスにアクセスできない。

    説明:HTTP Digest 認証の処理の問題は解消されています。サーバ構成でアクセスが許可されるべきである場合に、ユーザがサーバのリソースへのアクセスを拒否される可能性あります。この問題はセキュリティのリスクではありませんが、より強力な認証メカニズムを推進するために解消されました。この問題は OS X Lion Server システムでは発生しません。

  • X11

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1

    影響:libpng に複数の脆弱性がある。

    説明:libpng に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。この問題は、libpng を OS Lion システムではバージョン 1.5.4、Mac OS X v10.6 システムでは 1.2.46 にアップデートすることにより、解消されました。詳しくは、libpng の Web サイト (http://www.libpng.org/pub/png/libpng.html) を参照してください。

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: