Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。
CVE ID を使って脆弱性を調べることもできます。
他のセキュリティアップデートについてはこちらの記事 を参照してください。
Safari 5.1.4
-
Safari
対象 OS:Windows 7、Vista、XP SP2 以降
影響:URL 中の紛らわしい文字が Web サイトの偽装に悪用される可能性がある。
説明:Safari に組み込まれている国際ドメイン名 (IDN:International Domain Name) サポートが、似たような文字を含む URL の作成に悪用される可能性があります。これらが悪意ある Web サイトで悪用され、ユーザが本物のドメインと視覚的によく似たドメインのなりすましサイトにアクセスしてしまうことがあります。この問題は、ドメイン名の妥当性チェックの強化により解決されています。この問題は OS X システムでは発生しません。
CVE-ID
CVE-2012-0584:Symantec の Matt Cooley 氏
-
Safari
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:プライベートブラウズが有効になっていても、ブラウザの履歴に訪問した Web ページが記録される。
説明:Safari のプライベートブラウズはブラウズセッションが記録されないように設計されています。プライベートブラウズモードが有効になっていても、JavaScript メソッドの pushState または replaceState を使用してサイトに訪問したページの結果は、ブラウザの履歴に記録されます。この問題は、プライベートブラウズが有効になっているときに、このような訪問を記録しないことで解決されています。
CVE-ID
CVE-2012-0585:American Express の Eric Melville 氏
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。
説明:WebKit に複数のクロスサイトスクリプティングの問題があります。
CVE-ID
CVE-2011-3881:Sergey Glazunov 氏
CVE-2012-0586:Sergey Glazunov 氏
CVE-2012-0587:Sergey Glazunov 氏
CVE-2012-0588:Google Chrome Team の Jochen Eisinger 氏
CVE-2012-0589:polyvore.com の Alan Austin 氏
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、Cookie が漏洩する可能性がある。
説明:WebKit にクロスオリジンの問題があります。このため、Cookie をオリジンの外部に漏洩できる可能性があります。
CVE-ID
CVE-2011-3887:Sergey Glazunov 氏
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:悪意を持って作成された Web サイトにアクセスして、マウスでコンテンツをドラッグすると、クロスサイトスクリプティング攻撃を受ける可能性がある。
説明:WebKit にクロスオリジンの問題があります。このため、コンテンツをオリジンの外部にドラッグアンドドロップできる可能性があります。
CVE-ID
CVE-2012-0590:Google Chrome Security Team の Adam Barth 氏
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:WebKit にメモリ破損の脆弱性が複数存在します。
CVE-ID
CVE-2011-2825:TippingPoint 社の Zero Day Initiative と協力する team509 の wushi 氏
CVE-2011-2833:Apple
CVE-2011-2846:Arthur Gerkis 氏、miaubiz 氏
CVE-2011-2847:miaubiz 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2854:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2855:Arthur Gerkis 氏、iDefense VCP に協力する team509 の wushi 氏
CVE-2011-2857:miaubiz 氏
CVE-2011-2860:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2866:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2867:Dirk Schulze 氏
CVE-2011-2868:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2869:AddressSanitizer を使用する Google Chrome Security Team の Cris Neckar 氏
CVE-2011-2870:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2871:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2872:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno) および Cris Neckar 氏
CVE-2011-2873:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2011-2877:miaubiz 氏
CVE-2011-3885:miaubiz 氏
CVE-2011-3888:miaubiz 氏
CVE-2011-3897:TippingPoint 社の Zero Day Initiative と協力する pa_kt 氏
CVE-2011-3908:OUSPG の Aki Helin 氏
CVE-2011-3909:Google Chrome Security Team (scarybeasts) および Chu 氏
CVE-2011-3928:TippingPoint 社の Zero Day Initiative と協力する team509 の wushi 氏
CVE-2012-0591:miaubiz 氏、および Martin Barbella 氏
CVE-2012-0592:TippingPoint 社の Zero Day Initiative と協力する Alexander Gavrun 氏
CVE-2012-0593:Chromium development community の Lei Zhang 氏
CVE-2012-0594:Chromium development community の Adam Klein 氏
CVE-2012-0595:Apple
CVE-2012-0596:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0597:miaubiz 氏
CVE-2012-0598:Sergey Glazunov 氏
CVE-2012-0599:SaveSources.com の Dmytro Gorbunov 氏
CVE-2012-0600:Marshall Greenblatt 氏、Google Chrome の Dharani Govindan 氏、miaubiz 氏、OUSPG の Aki Helin 氏
CVE-2012-0601:Apple
CVE-2012-0602:Apple
CVE-2012-0603:Apple
CVE-2012-0604:Apple
CVE-2012-0605:Apple
CVE-2012-0606:Apple
CVE-2012-0607:Apple
CVE-2012-0608:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0609:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0610:miaubiz 氏、AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0611:AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0612:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0613:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0614:miaubiz 氏、AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0615:AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0616:miaubiz 氏
CVE-2012-0617:AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0618:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0619:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0620:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0621:AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0622:Google Chrome Security Team の Dave Levin 氏および Abhishek Arya 氏
CVE-2012-0623:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0624:AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0625:Martin Barbella 氏
CVE-2012-0626:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0627:Apple
CVE-2012-0628:Slawomir Blazek 氏、miaubiz 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0629:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0630:Igalia の Sergio Villar Senin 氏
CVE-2012-0631:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0632:AddressSanitizer を使用する Google Chrome Security TeamCris Neckar 氏
CVE-2012-0633:Apple
CVE-2012-0635:Chromium development community の Julien Chaffraix 氏、AddressSanitizer を使用する Martin Barbella 氏
CVE-2012-0636:Google の Jeremy Apthorp 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0637:Apple
CVE-2012-0638:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0639:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)
CVE-2012-0648:Apple
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:Safari で Cookie をブロックする設定になっていても、他社のサイトによって Cookie が設定される可能性がある。
説明:Cookie に関するポリシーの適用に問題があります。Safari の環境設定で「Cookie をブロック」がデフォルトの「知らないサイトや広告のみ」に設定されている場合、他社の Web サイトによって Cookie が設定される可能性があります。
CVE-ID
CVE-2012-0640:nshah 氏
-
WebKit
対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降
影響:HTTP 認証の認証情報が別のサイトに漏れてしまう可能性がある。
説明:HTTP 認証を使っているサイトが別のサイトにリダイレクトされた場合、認証情報がリダイレクト先のサイトに送信される可能性があります。
CVE-ID
CVE-2012-0647:匿名の研究者