OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて

OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて説明します。

これらはシステム環境設定の「ソフトウェア・アップデート」パネル、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについてはこちらの記事を参照してください。

OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004

  • Apache

    対象 OS:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:Apache に複数の脆弱性がある。

    説明:Apache に複数の脆弱性が存在します。これらの脆弱性に起因するもっとも深刻な問題として、クロスサイトスクリプティングが発生する可能性があります。この問題は、Apache をバージョン 2.2.24 にアップデートすることによって解消されました。

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:BIND に複数の脆弱性がある。

    説明:BIND に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、サービス拒否攻撃を受ける可能性があります。この問題は、BIND をバージョン 9.8.5-P1 にアップデートすることで解消されました。CVE-2012-5688 は、Mac OS X v10.7 システムでは発生しません。

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • 証明書信頼ポリシー

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:ルート証明書がアップデートされた。

    説明:複数の証明書が、システムルートのリストに追加されたり、リストから削除されたりしました。認識されたシステムルートの完全なリストは、キーチェーンアクセスアプリケーションで表示できます。

  • ClamAV

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5

    影響:ClamAV に複数の脆弱性がある。

    説明:ClamAV に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV をバージョン 0.97.8 にアップデートして問題を解消しました。

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.4

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:PDF ファイルの JBIG2 エンコードデータの処理にバッファオーバーフローの問題があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1025:Google Security Team の Felix Groebert 氏

  • ImageIO

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.4

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:PDF ファイルの JPEG2000 エンコードデータの処理にバッファオーバーフローの問題があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1026:Google Security Team の Felix Groebert 氏

  • Installer

    対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:証明書の失効後はパッケージを開くことができる。

    説明:失効した証明書を検出すると、インストーラはダイアログを出しますが、そこで次に進むことができます。この問題は、ダイアログを表示しないようにして、失効したパッケージをすべて拒否することで解消されました。

    CVE-ID

    CVE-2013-1027

  • IPSec

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:IPSec Hybrid Auth で保護されたデータを攻撃できる。

    説明:IPSec Hybrid Auth サーバの DNS 名が証明書と一致しないため、任意のサーバの証明書を持つ攻撃者がほかのサーバの証明書を持っているように装うことができました。この問題は、証明書を適切にチェックすることで解消されました。

    CVE-ID

    CVE-2013-1028:www.traud.de の Alexander Traud 氏

  • カーネル

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.4

    影響:ローカルネットワークユーザによってサービス拒否が引き起こされる可能性がある。

    説明:カーネルでの IGMP パケット解析コードに誤ってチェックマークを入れると、IGMP パケットをシステムに送信できるユーザがカーネルパニックを引き起こす可能性がありました。この問題は、チェックマークを外すことで解消されました。

    CVE-ID

    CVE-2013-1029:PROTECTSTAR INC. の Christopher Bohn 氏

  • モバイルデバイス管理

    対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:ほかのローカルユーザにパスワードが開示される可能性がある。

    説明:パスワードは MDM (モバイルデバイス管理) クライアントにコマンドラインで渡されますが、同じシステム上のほかのユーザにそのパスワードが見える状態になっていました。この問題は、パイプ経由でパスワードを送信することで解消されました。

    CVE-ID

    CVE-2013-1030:ヨーテボリ大学の Per Olofsson 氏

  • OpenSSL

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:OpenSSL に複数の脆弱性がある。

    説明:OpenSSL に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、ユーザデータが開示される可能性があります。この問題は、OpenSSL をバージョン 0.9.8y にアップデートすることで解消されました。

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:PHP に複数の脆弱性がある。

    説明:PHP に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。この問題は、PHP をバージョン 5.3.26 にアップデートすることによって解消されました。

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:PostgreSQL に複数の脆弱性がある。

    説明:PostgreSQL に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、データの破損や権限昇格が引き起こされる可能性があります。CVE-2013-1901 は OS X Lion システムでは発生しません。このアップデートでは、PostgreSQL を OS X Mountain Lion システムではバージョン 9.1.9 に、OS X Lion システムでは 9.0.4 にアップデートすることで、この問題を解消しています。

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • パワーマネージメント

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.4

    影響:指定の時間が経過してもスクリーンセーバが開始されないことがある。

    説明:パワーアサーションのロックに問題があります。この問題は、ロック処理を改良することによって解消されました。

    CVE-ID

    CVE-2013-1031

  • QuickTime

    対象 OS:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:QuickTime ムービーファイルの 'idsc' アトムの処理に、メモリ破損の問題があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1032:iDefense VCP に協力する Jason Kratzer 氏

  • 画面のロック

    対象 OS:OS X Mountain Lion v10.8 〜 v10.8.4

    影響:画面共有を利用できるユーザは、別のユーザがログインするときに画面ロックを回避できる可能性がある。

    説明:画面共有セッションの画面ロックの処理に、セッション管理の問題があります。この問題は、セッショントラッキングの改善によって解消されました。

    CVE-ID

    CVE-2013-1033:Atos IT Solutions の Jeff Grisso 氏、Sébastien Stormacq 氏

  • sudo

    対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 〜 v10.8.4

    影響:管理ユーザのアカウントをコントロールできる攻撃者は、そのユーザのパスワードを知らなくても root 権限を獲得できる可能性がある。

    説明:システムクロックを設定することで、攻撃者は、以前に sudo が使われたことのあるシステムで sudo を使って root 権限を獲得できる可能性があります。OS X では、システムクロックを変更できるのは管理ユーザだけです。この問題は、無効なタイムスタンプをチェックすることで解消されました。

    CVE-ID

    CVE-2013-1775

 

  • 注意:OS X Mountain Lion v10.8.5 では、特定の Unicode 文字列によってアプリケーションが予期せず終了することがある問題も解消されています。

 

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: