iOS 7 のセキュリティコンテンツについて

iOS 7 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iOS 7

  • 証明書信頼ポリシー

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ルート証明書がアップデートされた。

    説明:複数の証明書が、システムルートのリストに追加されたり、リストから削除されたりしました。

  • CoreGraphics

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:PDF ファイルの JBIG2 エンコードデータの処理にバッファオーバーフローの問題があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1025:Google Security Team の Felix Groebert 氏

  • CoreMedia

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:巧妙に細工されたムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。

    説明:Sorenson エンコードのムービーファイルの処理にバッファオーバーフローの問題があります。この問題は、バウンドチェックを強化することで解決されました。

    CVE-ID

    CVE-2013-1019:HP の Zero Day Initiative に協力している Microsoft の Tom Gallagher 氏および Microsoft の Paul Bates 氏

  • データ保護

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:App がパスコードの試行回数制限を回避できる場合がある。

    説明:データ保護に、特権分離に関する脆弱性が存在します。「データを消去」の設定にかかわらず、他社のサンドボックス内の App が、ユーザのパスコードの判別を繰り返し試行できる場合があります。この問題は、エンタイトルメントチェックを追加することで解消されました。

    CVE-ID

    CVE-2013-0957:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏

  • データセキュリティ

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:特権のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。

    説明:TrustWave (信頼されたルート CA) は、信頼されたアンカーの 1 つからサブ CA 証明書を発行した後、それを取り消しました。このサブ CA が原因で、Transport Layer Security (TLS) によってセキュリティ保護された通信の傍受が容易になっていました。このアップデートで、関与しているサブ CA 証明書が、OS X における信頼されない証明書リストに追加されました。

    CVE-ID

    CVE-2013-5134

  • dyld

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:攻撃者がデバイス上で任意のコードを実行することで、再起動中にコードが永続的に実行される。

    説明:dyld の openSharedCacheFile() 関数に、複数のバッファオーバーフローの脆弱性が存在します。この問題は、バウンドチェックを強化することで解決されました。

    CVE-ID

    CVE-2013-3950:Stefan Esser 氏

  • ファイルシステム

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:HFS 以外のファイルシステムをマウントできる攻撃者が、カーネル権限を使って、システムを突然終了させたり、任意のコードを実行したりする場合がある。

    説明:AppleDouble ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、AppleDouble ファイルのサポートを削除することで解消されました。

    CVE-ID

    CVE-2013-3955:Stefan Esser 氏

  • ImageIO

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:PDF ファイルの JPEG2000 エンコードデータの処理にバッファオーバーフローの問題があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1026:Google Security Team の Felix Groebert 氏

  • IOKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:バックグラウンドアプリケーションにより、フォアグラウンドの App にユーザインターフェイスイベントが挿入される場合がある。

    説明:バックグラウンドで実行しているアプリケーションが、task completion API または VoIP API を使って、フォアグラウンドのアプリケーションにユーザインターフェイスのイベントを挿入できる可能性があります。この問題は、インターフェイスイベントを処理するバックグラウンド/フォアグラウンドプロセスのアクセス制御を強化することで解消されました。

    CVE-ID

    CVE-2013-5137:Mobile Labs の Mackenzie Straight 氏

  • IOKitUser

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるローカルアプリケーションが原因で、システムが突然終了する場合がある。

    説明:IOCatalogue に、ヌルポインタ逆参照の脆弱性が存在します。この問題は、型チェックを強化することで解消されました。

    CVE-ID

    CVE-2013-5138:Will Estes 氏

  • IOSerialFamily

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるアプリケーションを実行すると、カーネル内で任意のコードが実行される場合がある。

    説明:IOSerialFamily ドライバで、配列の境界を越えたアクセスが発生する場合があります。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-5139:@dent1zt 氏

  • IPSec

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:IPSec Hybrid Auth で保護されたデータを攻撃できる。

    説明:IPSec Hybrid Auth サーバの DNS 名が証明書と一致しないため、任意のサーバの証明書を持つ攻撃者がほかのサーバの証明書を持っているように装うことができました。この問題は、証明書のチェックを強化することで解消されました。

    CVE-ID

    CVE-2013-1028:www.traud.de の Alexander Traud 氏

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:リモートの攻撃者によってデバイスが突然再起動される可能性がある。

    説明:断片化された不正なパケットがデバイスに送信されると、カーネルによってトリガがアサートされ、デバイスが再起動する場合があります。この問題は、断片化されたパッケージの検証を強化することで解消されました。

    CVE-ID

    CVE-2013-5140:Codenomicon の Joonas Kuorilehto 氏、CERT-FI と協力する匿名の研究者、Vulnerability Analysis Group、Stonesoft の Antti Levomäki 氏および Lauri Virtanen 氏

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるローカルアプリケーションによって、デバイスがハングする場合がある。

    説明:カーネルソケットインターフェイスの整数切り捨てに関する脆弱性が原因で、CPU で無限ループが発生する可能性があります。この問題は、大きなサイズの変数を使用することで解消されました。

    CVE-ID

    CVE-2013-5141:CESG

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ローカルネットワーク上の攻撃者によって、サービス拒否が引き起こされる可能性がある。

    説明:ローカルネットワーク上の攻撃者によって意図的に作成された IPv6 ICMP パケットが送信されると、CPU 負荷が高まる場合があります。この問題は、ICMP パケットのチェックサムを検証する前にレートを制限することで解消されました。

    CVE-ID

    CVE-2011-2391:Marc Heuse 氏

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:カーネルスタックメモリがローカルユーザに開示される可能性がある。

    説明:msgctl API と segctl API には、情報漏洩の脆弱性が存在します。この問題は、カーネルから返されたデータ構造を初期化することで解消されました。

    CVE-ID

    CVE-2013-5142:Kenx Technology, Inc の Kenzley Alphonse 氏

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:権限のないプロセスがカーネルメモリのコンテンツにアクセスし、権限昇格を引き起こす可能性があります。

    説明:mach_port_space_info API に情報漏洩の問題が存在します。この問題は、カーネルから返された構造の iin_collision フィールドを初期化することで解消されました。

    CVE-ID

    CVE-2013-3953:Stefan Esser 氏

  • カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:権限のないプロセスによって、システムが突然終了したり、カーネル内で任意のコードが実行されたりする可能性がある。

    説明:posix_spawn API への引数の処理に、メモリ破損に関する問題が存在します。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-3954:Stefan Esser 氏

  • Kext 管理

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:読み込んだカーネル拡張機能が、不正なプロセスによって変更される可能性がある。

    説明:kextd には、未認証の送信者からの IPC メッセージの処理に脆弱性が存在します。この問題は、権限チェックを強化することで解消されました。

    CVE-ID

    CVE-2013-5145:"Rainbow PRISM" 氏

  • libxml

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web ページを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:libxml に複数のメモリ破損の問題があります。この問題は libxml をバージョン 2.9.0 にアップデートすることで解消されました。

    CVE-ID

    CVE-2011-3102:Jüri Aedla 氏

    CVE-2012-0841

    CVE-2012-2807:Jüri Aedla 氏

    CVE-2012-5134:Google Chrome Security Team (Jüri Aedla 氏)

  • libxslt

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web ページを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:libxslt に複数のメモリ破損の問題があります。この問題は libxslt をバージョン 1.1.28 にアップデートすることで解消されました。

    CVE-ID

    CVE-2012-2825:Nicolas Gregoire 氏

    CVE-2012-2870:Nicolas Gregoire 氏

    CVE-2012-2871:Fortinet の FortiGuard Labs の Kai Lu 氏、Nicolas Gregoire 氏

  • パスコードロック

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:デバイスに物理的にアクセスできる人物に対し、画面のロックが機能しない可能性がある。

    説明:ロック画面での電話処理と SIM カードの取り出し処理に、競合状態 (race condition) の脆弱性が存在します。この問題はロックのステータス管理を改善したことで解消されました。

    CVE-ID

    CVE-2013-5147:videosdebarraquito 氏

  • インターネット共有

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:攻撃者がインターネット共有ネットワークにアクセスできる可能性がある。

    説明:インターネット共有のパスワードの生成に脆弱性が存在し、攻撃者がパスワードを推測してユーザのインターネット共有にアクセスできる可能性があります。この問題は、パスワードのエントロピーを強化することで解消されました。

    CVE-ID

    CVE-2013-4616:NESO Security Labs の Andreas Kurtz 氏、およびフリードリヒ・アレクサンダー大学エアランゲン=ニュルンベルクの Daniel Metz 氏

  • プッシュ通知

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ユーザの判断に反して、プッシュ通知のトークンが App に開示される場合がある。

    説明:プッシュ通知の登録に、情報漏洩の脆弱性が存在します。プッシュ通知へのアクセスを要求した App に対し、ユーザがプッシュ通知の利用を許可する前に、トークンが送信される可能性があります。この問題は、ユーザによってアクセスが許可されるまで、トークンへのアクセスを保留することで解消されました。

    CVE-ID

    CVE-2013-5149:Grouper, Inc. の Jack Flintermann 氏

  • Safari

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:XML ファイルの処理に、メモリ破損に関する問題が存在します。この問題はバウンドチェック機能を強化することで解消されました。

    CVE-ID

    CVE-2013-1036:Fortinet の FortiGuard Labs の Kai Lu 氏

  • Safari

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:開いているタブで最近閲覧したページの履歴が、履歴をクリアしても残る。

    説明:Safari の履歴をクリアしても、開いているタブの「戻る」と「進む」の履歴がクリアされない場合があります。この問題は「戻る」と「進む」の履歴をクリアすることで解消されました。

    CVE-ID

    CVE-2013-5150

  • Safari

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:サーバから「Content-Type: text/plain」ヘッダが送信されているにもかかわらず、Web サイトでファイルを閲覧するとスクリプトが実行される場合がある。

    説明:Mobile Safari で、サーバから「Content-Type: text/plain」ヘッダが送信されているときでも、ファイルが HTML ファイルとして処理される場合があります。これによって、ユーザがファイルをアップロードできるサイトで、クロスサイトスクリプティングが発生する可能性があります。この問題は「Content-Type: text/plain」が設定されているファイルの処理を強化することで解消されました。

    CVE-ID

    CVE-2013-5151:Github の Ben Toews 氏

  • Safari

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:巧妙に細工された Web サイトにアクセスすると、任意の URL が表示される場合がある。

    説明:Mobile Safari に、URL バーのなりすましの脆弱性が存在します。この問題は、URL 追跡機能を強化することで解消されました。

    CVE-ID

    CVE-2013-5152:keitahaga.com の Keita Haga 氏、RBS の Łukasz Pilorz 氏

  • サンドボックス

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:スクリプトのアプリケーションがサンドボックス化されない。

    説明:#! 構文を使ってスクリプトを実行する他社製アプリケーションが、スクリプト自体ではなくスクリプトインタープリタの ID に基づいてサンドボックス化される場合があります。インタープリタでサンドボックスが定義されていない場合、アプリケーションがサンドボックス化されずに実行される可能性があります。この問題は、スクリプトの ID に基づいてサンドボックスを作成することで解消されました。

    CVE-ID

    CVE-2013-5154:evad3rs

  • サンドボックス

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションが原因でシステムがハングする可能性がある。

    説明:悪意のある他社製アプリケーションによって、/dev/random デバイスに特殊な値が書き込まれ、CPU で無限ループが発生する可能性があります。この問題は、他社製アプリケーションによる /dev/random への書き込みを禁止することで解消されました。

    CVE-ID

    CVE-2013-5155:CESG

  • ソーシャル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:パスコードが設定されていないデバイスに、ユーザが Twitter で最近行った操作が開示される場合がある。

    説明:ユーザが最近やり取りした Twitter アカウントを特定される脆弱性があります。この問題は、Twitter アイコンキャッシュへのアクセスを制限することで解消されました。

    CVE-ID

    CVE-2013-5158:Jonathan Zdziarski 氏

  • Springboard

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:紛失モードのデバイスに物理的にアクセスできる人物が、通知を表示できる可能性がある。

    説明:デバイスが紛失モードのときの通知処理に脆弱性が存在します。このアップデートでは、ロック状態の管理を強化することで問題が解消しています。

    CVE-ID

    CVE-2013-5153:Daniel Stangroom 氏

  • 電話

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のある App が電話通信機能に干渉したり、コントロールしたりする可能性がある。

    説明:電話通信サブシステムのアクセス制御に脆弱性が存在します。サンドボックス内の App が、サポートされる API を回避し、システムデーモンに直接要求することで、電話通信機能に干渉したりコントロールしたりする可能性があります。この問題は、電話通信機能のデーモンによって公開されるインターフェイスのアクセス制御を強化することで解消されました。

    CVE-ID

    CVE-2013-5156:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏、ジョージア工科大学の Tielei Wang 氏、Kangjie Lu 氏、Long Lu 氏、Simon Chung 氏、Wenke Lee 氏

  • Twitter

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ユーザによる操作や許可なしに、サンドボックス内の App が Twitter に投稿する可能性がある。

    説明:Twitter サブシステムのアクセス制御に脆弱性が存在します。サンドボックス内の App が、サポートされる API を回避し、システムデーモンに直接要求することで、Twitter 機能に干渉したりコントロールしたりする可能性があります。この問題は、Twitter のデーモンによって公開されるインターフェイスのアクセス制御を強化することで解消されました。

    CVE-ID

    CVE-2013-5157:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏、ジョージア工科大学の Tielei Wang 氏、Kangjie Lu 氏、Long Lu 氏、Simon Chung 氏、Wenke Lee 氏

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2013-0879:OUSPG の Atte Kettunen 氏

    CVE-2013-0991:Chromium development community の Jay Civelli 氏

    CVE-2013-0992:Google Chrome Security Team (Martin Barbella 氏)

    CVE-2013-0993:Google Chrome Security Team (Inferno 氏)

    CVE-2013-0994:Google の David German 氏

    CVE-2013-0995:Google Chrome Security Team (Inferno 氏)

    CVE-2013-0996:Google Chrome Security Team (Inferno 氏)

    CVE-2013-0997:HP 社の Zero Day Initiative に協力する Vitaliy Toropov 氏

    CVE-2013-0998:HP 社の Zero Day Initiative と協力する pa_kt 氏

    CVE-2013-0999:HP 社の Zero Day Initiative と協力する pa_kt 氏

    CVE-2013-1000:Google Security Team の Fermin J. Serna 氏

    CVE-2013-1001:Ryan Humenick 氏

    CVE-2013-1002:Sergey Glazunov 氏

    CVE-2013-1003:Google Chrome Security Team (Inferno 氏)

    CVE-2013-1004:Google Chrome Security Team (Martin Barbella 氏)

    CVE-2013-1005:Google Chrome Security Team (Martin Barbella 氏)

    CVE-2013-1006:Google Chrome Security Team (Martin Barbella 氏)

    CVE-2013-1007:Google Chrome Security Team (Inferno 氏)

    CVE-2013-1008:Sergey Glazunov 氏

    CVE-2013-1010:miaubiz 氏

    CVE-2013-1037:Google Chrome Security Team

    CVE-2013-1038:Google Chrome Security Team

    CVE-2013-1039:iDefense VCP と協力する own-hero Research 氏

    CVE-2013-1040:Google Chrome Security Team

    CVE-2013-1041:Google Chrome Security Team

    CVE-2013-1042:Google Chrome Security Team

    CVE-2013-1043:Google Chrome Security Team

    CVE-2013-1044:Apple

    CVE-2013-1045:Google Chrome Security Team

    CVE-2013-1046:Google Chrome Security Team

    CVE-2013-1047:miaubiz 氏

    CVE-2013-2842:Cyril Cattiaux 氏

    CVE-2013-5125:Google Chrome Security Team

    CVE-2013-5126:Apple

    CVE-2013-5127:Google Chrome Security Team

    CVE-2013-5128:Apple

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:巧妙に細工された Web サイトにアクセスすると、情報が漏洩する可能性がある。

    説明:window.webkitRequestAnimationFrame() API の処理に、情報漏洩の脆弱性が存在します。巧妙に細工された Web サイトが iframe を使って、別のサイトで window.webkitRequestAnimationFrame() が使用されているかどうか特定できる可能性があります。この問題は window.webkitRequestAnimationFrame() の処理を改善することで解消されました。

    CVE-ID

    CVE-2013-5159
  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成されたHTML スニペットをコピー&ペーストすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

    説明:HTML ドキュメント内でコピー&ペーストされたデータの処理に、クロスサイトスクリプティングの問題が存在します。この問題は、ペーストされたコンテンツの検証を強化することで解決されました。

    CVE-ID

    CVE-2013-0926:xys3c (xysec.com) の Aditya Gupta 氏、Subho Halder 氏、および Dev Kar 氏

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

    説明:iFrames の処理にクロスサイトスクリプティングの問題があります。この問題は、オリジンの追跡機能を改良することで解決されました。

    CVE-ID

    CVE-2013-1012:Facebook の Subodh Iyengar 氏および Erling Ellingsen 氏

  • WebKit

    対象となるデバイス:iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、情報が漏洩する可能性がある。

    説明:XSSAuditor に情報漏洩の脆弱性が存在します。この問題は、URL の処理を改善することで解消されました。

    CVE-ID

    CVE-2013-2848:Egor Homakov 氏

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:選択内容をドラッグまたはペーストすると、クロスサイトスクリプティング攻撃を引き起こす可能性がある。

    説明:あるサイトから別のサイトへ選択内容をドラッグしてペーストすると、その選択内容に含まれていたスクリプトが、別のサイトのコンテキスト内で実行できてしまう可能性があります。この問題は、ペーストまたはドラッグ & ドロップ操作の前に、コンテンツの検証を追加したことで解消されています。

    CVE-ID

    CVE-2013-5129:Mario Heiderich 氏

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

    説明:URL の処理に、クロスサイトスクリプティングの脆弱性が存在します。この問題は、オリジンの追跡機能を改良することで解決されました。

    CVE-ID

    CVE-2013-5131:Erling A Ellingsen 氏

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: