OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 およびセキュリティアップデート 2012-004 のセキュリティコンテンツについて

OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 およびセキュリティアップデート 2012-004 のセキュリティコンテンツについて説明します。

OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 およびセキュリティアップデート 2012-004 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

他のセキュリティアップデートについてはこちらの記事 を参照してください。

OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 およびセキュリティアップデート 2012-004

注意:OS X Mountain Lion v10.8.2 には、Safari 6.0.1 のコンテンツが含まれています。詳細については、こちらの記事 を参照してください。

  • Apache

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:Apache に複数の脆弱性がある。

    説明:Apache は、複数の脆弱性に対処するためにバージョン 2.2.22 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、サービス拒否が生じることがあります。詳細については、Apache の Web サイト http://httpd.apache.org/ を参照してください。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:リモートの攻撃者が、BIND を DNS ネームサーバとして実行するよう構成されたシステムで、サービス拒否攻撃を実行できる可能性がある。

    説明:DNS レコードの処理に、到達可能なアサーションに関する問題が存在します。この問題は BIND 9.7.6-P1 にアップデートすることで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-4313

  • BIND

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4、OS X Mountain Lion v10.8 および v10.8.1

    影響:リモートの攻撃者が、サービス拒否やデータ破壊を実行したり、BIND を DNS ネームサーバとして実行するよう構成されたシステムのプロセスメモリから機密情報を入手できる可能性がある。

    説明:DNS レコードの処理に、メモリ管理に関する問題が存在します。この問題は、OS X Lion システムでは BIND 9.7.6-P1 に、OS X Mountain Lion システムでは BIND 9.8.3-P1 にアップデートすることで解決されました。

    CVE-ID

    CVE-2012-1667

  • CoreText

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:CoreText を使うアプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:テキストのグリフの処理に、バウンドチェック機能に関する問題が存在します。これにより、アウトオブバウンズメモリの読み取りまたは書き込みが発生する場合があります。この問題はバウンドチェック機能を改善することで解決されました。この問題は Mac OS X v10.6 または OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-3716:Mozilla Corporation の Jesse Ruderman 氏

  • データセキュリティ

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4、OS X Mountain Lion v10.8 および v10.8.1

    影響:特権のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。

    説明:TrustWave (信頼されたルート CA) は、信頼されたアンカーの 1 つからサブ CA 証明書を発行した後、それを取り消しました。このサブ CA が原因で、Transport Layer Security (TLS) によってセキュリティ保護された通信の傍受が容易になっていました。このアップデートで、関与しているサブ CA 証明書が、OS X における信頼されない証明書リストに追加されました。

  • DirectoryService

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:DirectoryService プロキシを使用している場合、リモートの攻撃者によって、サービス拒否攻撃が実行されたり、任意のコードが実行される可能性がある。

    説明:DirectoryService プロキシにバッファオーバーフローの問題が存在します。この問題はバウンドチェック機能を改善することで解決されました。この問題は OS X Lion および Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0650:HP の Zero Day Initiative に協力している aazubel 氏

  • ImageIO

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成された PNG 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。

    説明:libpng による PNG 画像処理で、複数のメモリ破損の問題が存在します。この問題は、PNG 画像の検証を強化することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3026:Jüri Aedla 氏

    CVE-2011-3048

  • ImageIO

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:libTIFF による TIFF 画像の処理に、整数のオーバーフロー原因となる問題が存在します。この問題は TIFF 画像の検証を強化することで解消されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-1173:HP 社の Zero Day Initiative に協力する Alexander Gavrun 氏

  • Installer

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:リモート管理者やシステムに物理的にアクセスできる人物がアカウント情報を入手できる可能性がある。

    説明:OS X Lion 10.7.4 の CVE-2012-0652 の修正によって、ユーザパスワードはシステム内に記録されなくなりましたが、古いログエントリーは削除されません。この問題はパスワードを含むログファイルを削除することで解決されました。この問題は Mac OS X 10.6 または OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0652

  • International Components for Unicode (ICU)

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:ICU を使うアプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:ICU ローカル ID の処理に、スタックバッファオーバーフローの問題が存在します。この問題はバウンドチェック機能を改善することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-4599

  • カーネル

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意のあるプログラムがサンドボックスの制限をバイパスする可能性がある。

    説明:デバッグシステムのコール処理時にロジックの問題が存在します。このため、悪意のあるプログラムが、同じユーザ権限を持つほかのプログラムで、コードを実行できる可能性があります。この問題は、PT_STEP および PT_CONTINUE のアドレスの処理を無効化することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0643:iOS Jailbreak Dream Team

  • ログインウインドウ

    対象となるバージョン:OS X Mountain Lion v10.8 および v10.8.1

    影響:ローカルユーザによって、ほかのユーザのログインパスワードを取得される可能性がある。

    説明:ユーザがインストールした入力方法が原因で、ログインウインドウまたはスクリーンセーバアンロックからパスワードのキーストロークを傍受される可能性がありました。この問題は、システムがログイン情報を処理しているときに、ユーザがインストールした入力方法を使用できなくすることで解決されました。

    CVE-ID

    CVE-2012-3718:Lukhnos Liu 氏

  • Mail

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:メールメッセージを表示すると、Web プラグインが実行される可能性がある。

    説明:埋め込まれている Web プラグイン入力の処理に、入力の検証エラーに関する問題が存在します。この問題は、他社製プラグインを Mail で無効にすることで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-3719:CERT/CC の Will Dormann 氏

  • モバイルアカウント

    対象となるバージョン:OS X Mountain Lion v10.8 および v10.8.1

    影響:モバイルアカウントのコンテンツにアクセスできるユーザが、アカウントパスワードを取得できる可能性がある。

    説明:モバイルアカウントを作成すると、アカウントのハッシュが保存され、モバイルアカウントを外部アカウントとして使うときに、このハッシュを使ってログインしていました。ユーザのパスワードを決定する際に、パスワードのハッシュが使われていた可能性があります。この問題は、モバイルアカウントを作成するシステムで外部アカウントを有効にする場合にのみパスワードを作成することで解決されました。

    CVE-ID

    CVE-2012-3720:Google, Inc. の Harald Wagener 氏

  • PHP

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4、OS X Mountain Lion v10.8 および v10.8.1

    影響:PHP に複数の脆弱性がある。

    説明:>PHP は複数の脆弱性に対処するためにバージョン 5.3.15 にアップデートされています。これらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。詳しくは、PHP の Web サイト http://www.php.net を参照してください。

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:libpng を使う PHP スクリプトが突然終了したり、任意のコードが実行される可能性がある。

    説明:PNG ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、libpng の PHP のコピーをバージョン 1.5.10 にアップデートすることで、解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3048

  • Profile Manager

    対象となるバージョン:OS X Lion Server v10.7 から v10.7.4

    影響:未認証のユーザが管理されたデバイスを列挙する可能性がある。

    説明:デバイス管理のプライベートインターフェイスに認証に関する問題が存在します。この問題はインターフェイスを削除することで解決されました。

    この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-3721:XEquals Corporation の Derick Cassidy 氏

  • クイックルック

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成された pict ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:.pict ファイルの処理に、メモリ破損に関する問題が存在します。この問題は .pict ファイルの検証を強化することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0671:Qualys Vulnerability & Malware Research Labs (VMRL) の Rodrigo Rubira Branco 氏 (twitter.com/bsdaemon)

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime によるシアンアトムの処理に、整数のオーバーフローの問題が存在します。この問題はバウンドチェック機能を改善することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0670:HP の Zero Day Initiative に協力している Microsoft の Tom Gallagher 氏および Paul Bates 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:Sorenson によってエンコードされたムービーファイルの処理に未初期化メモリアクセスの問題が存在します。この問題は、メモリの初期化処理を改善することで解消されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-3722:CERT/CC の Will Dormann 氏

  • QuickTime

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:RLE によってエンコードされたムービーファイルの処理にバッファオーバーフローの問題があります。この問題はバウンドチェック機能を改善することで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-0668:HP の Zero Day Initiative に協力する Luigi Auriemma 氏

  • Ruby

    対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。

    説明:暗号化スイートが CBC モードでブロック暗号を使用する際に、SSL 3.0 および TLS 1.0 の機密性に対する既知の攻撃があります。Ruby OpenSSL モジュールは、これらの攻撃を防ぐ「空のフラグメント」の対応策を無効にしていました。この問題は「空のフラグメント」を有効にすることで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3389

  • USB

    対象となるバージョン:OS X Lion v10.7 から v10.7.4、OS X Lion Server v10.7 から v10.7.4

    影響:USB デバイスを接続すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:USB ハブディスクリプタの処理に、メモリ破損の原因となる問題が存在します。この問題は、bNbrPorts ディスクリプタフィールドの処理を改善したことで解決されました。この問題は OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2012-3723:NGS Secure の Andy Davis 氏

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: