OS X Mountain Lion v10.8.4 およびセキュリティアップデート 2013-002 のセキュリティコンテンツについて

OS X Mountain Lion v10.8.4 とセキュリティアップデート 2013-002 のセキュリティコンテンツについてご説明します。これらはシステム環境設定の「ソフトウェア・アップデート」パネル、または Apple ダウンロードからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。
 

OS X Mountain Lion v10.8.4 およびセキュリティアップデート 2013-002

注意:OS X Mountain Lion v10.8.4 には Safari 6.0.5 のコンテンツが含まれています。詳しくはこちらの記事 を参照してください。

  • CFNetwork

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3

    影響:プライベートブラウズを使用している場合でも、ユーザのセッションにアクセスした攻撃者が、以前にアクセスしたことのあるサイトにログインできる。

    説明:プライベートブラウズが有効であっても、Safari を終了した後、永続化 Cookie が保存されていました。この問題は、Cookie の処理を改善したことで解決されました。

    CVE-ID

    CVE-2013-0982:www.traud.de の Alexander Traud 氏

  • CoreAnimation

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成されたサイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:テキストのグリフの処理に、無限スタック割り当ての問題が存在します。これは、Safari で悪意を持って作成された URL が原因で発生します。この問題はバウンドチェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0983:Stanford University の David Fifield 氏、en Syverson 氏

  • CoreMedia の再生

    対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:テキストトラックの処理に初期化されていないメモリアクセスの問題が存在します。この問題は、テキストトラックの検証を強化することで解決されました。

    CVE-ID

    CVE-2013-1024:Triemt Corporation の Richard Kuo 氏および Billy Suguitan 氏

  • CUPS

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3

    影響:lpadmin グループのローカルユーザが、システム権限を使って任意のファイルを読み書きできる。

    説明:CUPS Web インターフェイスによる CUPS の構成処理に、権限の昇格の問題があります。lpadmin グループのローカルユーザが、システム権限を使って任意のファイルを読み書きできます。この問題は、CUPS Web インターフェイスから変更できない一部の構成ディレクティブを cups-files.conf に移動することで解決されました。

    CVE-ID

    CVE-2012-5519

  • ディレクトリサービス

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影響:リモートの攻撃者が、ディレクトリサービスが有効になったシステム上で、システム権限を使って任意のコードを実行できる。

    説明:ディレクトリサーバによるネットワークからのメッセージの処理に問題が存在します。悪意を持って作成されたメッセージを送信することで、リモートの攻撃者が、ディレクトリサーバでシステム権限を使って任意のコードを終了したり実行したりすることができます。この問題は、配列境界チェック機能を改善することで解決されました。この問題は、OS X Lion または OS X Mountain Lion システムでは発生しません。

    CVE-ID

    CVE-2013-0984:Core Security の Nicolas Economou

  • ディスクの管理

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3

    影響:ローカルユーザが FileVault を無効化できる。

    説明:管理者でないローカルユーザが、コマンドラインを使って FileVault を無効化できます。この問題は、認証機能を強化することで解決されました。

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。

    説明:圧縮を有効化したときに、TLS 1.0 の機密に対して既知の攻撃がありました。この問題は、OpenSSL の圧縮を無効化することで解決されました。

    CVE-ID

    CVE-2012-4929:Juliano Rizzo 氏および Thai Duong 氏

  • OpenSSL

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:OpenSSL に複数の脆弱性がある。

    説明:サービス拒否または秘密鍵の漏洩につながる複数の脆弱性を解決するために、OpenSSL がバージョン 0.9.8x にアップデートされました。OpenSSL Web サイトについての詳細は、http://www.openssl.org/news/ を参照してください。

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.2

    影響:悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

    説明:PICT 画像の処理に、バッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0975:HP の Zero Day Initiative に協力する Tobias Klein 氏

  • QuickTime

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:「enof」アトムの処理に、バッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0986:HP の Zero Day Initiative に協力している Microsoft の Tom Gallagher 氏および Microsoft の Paul Bates 氏

  • QuickTime

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成された QTIF ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QTIF ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0987:iDefense VCP に協力する roob 氏

  • QuickTime

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成された FPX ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:FPX ファイルの処理にバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0988:HP の Zero Day Initiative に協力している G. Geshev 氏

  • QuickTime

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3

    影響:悪意を持って作成された MP3 ファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:MP3 ファイルの処理にバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2013-0989:HP の Zero Day Initiative に協力している G. Geshev 氏

  • Ruby

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影響:Ruby on Rails に複数の脆弱性が存在する。

    説明:複数の脆弱性が Ruby on Rails に存在します。もっとも深刻な脆弱性の場合、Ruby on Rails アプリケーションの実行中に、システム上で任意のコードが実行されます。これらの問題は、Ruby on Rails をバージョン 2.3.18 にアップデートすることで解決されました。この問題は、Mac OS X 10.6.8 以前からアップグレードされた OS X Lion または OS X Mountain Lion システムで発生する可能性があります。ユーザは、/usr/bin/gem ユーティリティを使って、該当するシステム上の問題がある Gem をアップデートできます。

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3

    影響:認証済みユーザが、共有ディレクトリの外部にファイルを書き出すことができる。

    説明:SMB ファイル共有を有効化すると、認証済みユーザが共有ディレクトリの外部にファイルを書き出すことができます。この問題は、アクセス制御を改良することで解決されました。

    CVE-ID

    CVE-2013-0990:Ward van Wanrooij 氏

  • 注意:OS X v10.8.4 より、インターネットからダウンロードされた Java Web Start (JNLP など) アプリケーションには、署名入りの Developer ID 証明書が必要になりました。Gatekeeper は、ダウンロードされた Java Web Start アプリケーションに署名があるかチェックし、適切に署名されていない場合は、アプリケーションの起動をブロックします。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: