Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
OS X Mountain Lion v10.8.4 およびセキュリティアップデート 2013-002
注意:OS X Mountain Lion v10.8.4 には Safari 6.0.5 のコンテンツが含まれています。詳しくはこちらの記事 を参照してください。
-
CFNetwork
対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3
影響:プライベートブラウズを使用している場合でも、ユーザのセッションにアクセスした攻撃者が、以前にアクセスしたことのあるサイトにログインできる。
説明:プライベートブラウズが有効であっても、Safari を終了した後、永続化 Cookie が保存されていました。この問題は、Cookie の処理を改善したことで解決されました。
CVE-ID
CVE-2013-0982:www.traud.de の Alexander Traud 氏
-
CoreAnimation
対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成されたサイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:テキストのグリフの処理に、無限スタック割り当ての問題が存在します。これは、Safari で悪意を持って作成された URL が原因で発生します。この問題はバウンドチェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0983:Stanford University の David Fifield 氏、en Syverson 氏
-
CoreMedia の再生
対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:テキストトラックの処理に初期化されていないメモリアクセスの問題が存在します。この問題は、テキストトラックの検証を強化することで解決されました。
CVE-ID
CVE-2013-1024:Triemt Corporation の Richard Kuo 氏および Billy Suguitan 氏
-
CUPS
対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3
影響:lpadmin グループのローカルユーザが、システム権限を使って任意のファイルを読み書きできる。
説明:CUPS Web インターフェイスによる CUPS の構成処理に、権限の昇格の問題があります。lpadmin グループのローカルユーザが、システム権限を使って任意のファイルを読み書きできます。この問題は、CUPS Web インターフェイスから変更できない一部の構成ディレクティブを cups-files.conf に移動することで解決されました。
CVE-ID
CVE-2012-5519
-
ディレクトリサービス
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8
影響:リモートの攻撃者が、ディレクトリサービスが有効になったシステム上で、システム権限を使って任意のコードを実行できる。
説明:ディレクトリサーバによるネットワークからのメッセージの処理に問題が存在します。悪意を持って作成されたメッセージを送信することで、リモートの攻撃者が、ディレクトリサーバでシステム権限を使って任意のコードを終了したり実行したりすることができます。この問題は、配列境界チェック機能を改善することで解決されました。この問題は、OS X Lion または OS X Mountain Lion システムでは発生しません。
CVE-ID
CVE-2013-0984:Core Security の Nicolas Economou
-
ディスクの管理
対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3
影響:ローカルユーザが FileVault を無効化できる。
説明:管理者でないローカルユーザが、コマンドラインを使って FileVault を無効化できます。この問題は、認証機能を強化することで解決されました。
CVE-ID
CVE-2013-0985
-
OpenSSL
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。
説明:圧縮を有効化したときに、TLS 1.0 の機密に対して既知の攻撃がありました。この問題は、OpenSSL の圧縮を無効化することで解決されました。
CVE-ID
CVE-2012-4929:Juliano Rizzo 氏および Thai Duong 氏
-
OpenSSL
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:OpenSSL に複数の脆弱性がある。
説明:サービス拒否または秘密鍵の漏洩につながる複数の脆弱性を解決するために、OpenSSL がバージョン 0.9.8x にアップデートされました。OpenSSL Web サイトについての詳細は、http://www.openssl.org/news/ を参照してください。
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
-
QuickDraw Manager
対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.2
影響:悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。
説明:PICT 画像の処理に、バッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0975:HP の Zero Day Initiative に協力する Tobias Klein 氏
-
QuickTime
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:「enof」アトムの処理に、バッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0986:HP の Zero Day Initiative に協力している Microsoft の Tom Gallagher 氏および Microsoft の Paul Bates 氏
-
QuickTime
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成された QTIF ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:QTIF ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0987:iDefense VCP に協力する roob 氏
-
QuickTime
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成された FPX ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:FPX ファイルの処理にバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0988:HP の Zero Day Initiative に協力している G. Geshev 氏
-
QuickTime
対象 OS:OS X Mountain Lion v10.8 〜 v10.8.3
影響:悪意を持って作成された MP3 ファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:MP3 ファイルの処理にバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-0989:HP の Zero Day Initiative に協力している G. Geshev 氏
-
Ruby
対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8
影響:Ruby on Rails に複数の脆弱性が存在する。
説明:複数の脆弱性が Ruby on Rails に存在します。もっとも深刻な脆弱性の場合、Ruby on Rails アプリケーションの実行中に、システム上で任意のコードが実行されます。これらの問題は、Ruby on Rails をバージョン 2.3.18 にアップデートすることで解決されました。この問題は、Mac OS X 10.6.8 以前からアップグレードされた OS X Lion または OS X Mountain Lion システムで発生する可能性があります。ユーザは、/usr/bin/gem ユーティリティを使って、該当するシステム上の問題がある Gem をアップデートできます。
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
-
SMB
対象 OS:OS X Lion v10.7 〜 v10.7.5、OS X Lion Server v10.7 〜 v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.3
影響:認証済みユーザが、共有ディレクトリの外部にファイルを書き出すことができる。
説明:SMB ファイル共有を有効化すると、認証済みユーザが共有ディレクトリの外部にファイルを書き出すことができます。この問題は、アクセス制御を改良することで解決されました。
CVE-ID
CVE-2013-0990:Ward van Wanrooij 氏
-
注意:OS X v10.8.4 より、インターネットからダウンロードされた Java Web Start (JNLP など) アプリケーションには、署名入りの Developer ID 証明書が必要になりました。Gatekeeper は、ダウンロードされた Java Web Start アプリケーションに署名があるかチェックし、適切に署名されていない場合は、アプリケーションの起動をブロックします。