OS X Yosemite v10.10.2 およびセキュリティアップデート 2015-001 のセキュリティコンテンツについて

OS X Yosemite v10.10.2 およびセキュリティアップデート 2015-001 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

OS X Yosemite v10.10.2 およびセキュリティアップデート 2015-001

  • AFP サーバ

    対象 OS:OS X Mavericks v10.9.5

    影響:リモートの攻撃者が、システムのすべてのネットワークアドレスを判断できる可能性がある。

    説明:AFP ファイルサーバが、システムのすべてのネットワークアドレスを返すコマンドをサポートしていました。この問題は、結果からアドレスを削除することで解決されました。

    CVE-ID

    CVE-2014-4426:Tripwire VERT の Craig Young 氏

  • bash

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:bash には複数の脆弱性があり、その 1 つとしてローカルの攻撃者が任意のコードを実行できる可能性がある。

    説明:bash に複数の脆弱性がありました。この問題は bash をパッチレベル 57 にアップデートすることで解決されました。

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:カーネルメモリの操作を可能にする IOBluetoothFamily の整数の符号のエラーが存在します。この問題は、配列境界チェック機能を改善することで解決されました。この問題は OS X Yosemite システムでは発生しません。

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:Bluetooth ドライバにエラーが存在し、悪意のあるアプリケーションがカーネルメモリの書き込みサイズをコントロールできる可能性があります。この問題は、入力の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8836:Google Project Zero の Ian Beer 氏

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:Bluetooth ドライバに存在する複数のセキュリティの問題が原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる可能性があります。この問題は、入力の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8837:Emaze Networks の Roberto Paleari 氏および Aristide Fattori 氏

  • CFNetwork Cache

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:プライベートブラウズを終了した後に、Web サイトのキャッシュが完全に消去されない場合がある。

    説明:プライベートブラウズを終了した後もキャッシュにブラウジングのデータが残るというプライバシーの問題が存在します。この問題は、キャッシュの動作を変更することで解決されました。

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:巧妙に細工された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:PDF ファイルの処理に、整数オーバーフローの脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-4481:iSIGHT Partners GVP Program に協力している Binamuse VRT の Felipe Andres Manzano 氏

  • CPU ソフトウェア

    対象 OS:MacBook Pro Retina、MacBook Air (Mid 2013 以降)、iMac (Late 2013 以降)、Mac Pro (Late 2013) にインストールされている OS X Yosemite v10.10 および v10.10.1

    影響:悪意のある Thunderbolt デバイスがファームウェアの更新に影響を及ぼす可能性がある。

    説明:Thunderbolt デバイスが EFI アップデート中に接続されると、ホストファームウェアを変更できる可能性があります。この問題は、アップデート中にオプションの ROM を読み込まないことで解決されました。

    CVE-ID

    CVE-2014-4498:Two Sigma Investments の Trammell Hudson 氏

  • CommerceKit フレームワーク

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:システムにアクセス可能な攻撃者が Apple ID の資格情報を回収できる可能性がある。

    説明:App Store ログの処理に脆弱性が存在します。App Store プロセスは、追加のログが有効にされるとログ内に Apple ID の資格情報を記録する可能性があります。この問題は、資格情報のログ入力を許可しないことで解決されました。

    CVE-ID

    CVE-2014-4499:Sten Petersen 氏

  • CoreGraphics

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:セキュリティ保護されていない一部の他社製アプリケーションでマウスのイベントがログに記録される可能性がある。

    説明:初期化されない変数とアプリケーションのカスタムアロケータの組み合わせによって、セキュリティ保護されていないテキスト入力とマウスのイベントがログに記録される可能性があります。この問題は、デフォルトでログの記録を確実にオフにすることで解決されました。この問題は、OS X Yosemite より前のシステムでは発生しません。

    CVE-ID

    CVE-2014-1595:Kent Howard 氏に協力する Mozilla の Steven Michaud 氏

  • CoreGraphics

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5

    影響:巧妙に細工された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:PDF ファイルの処理に、メモリ破損に関する問題が存在します。この問題はバウンドチェック機能を改善することで解決されました。この問題は OS X Yosemite システムでは発生しません。

    CVE-ID

    CVE-2014-8816:Digital Operatives LLC の Mike Myers 氏

  • CoreSymbolication

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:coresymbolicationd による XPC メッセージの処理に複数のタイプの混乱の問題が存在します。この問題は、タイプチェックを強化することで解決されました。

    CVE-ID

    CVE-2014-8817:Google Project Zero の Ian Beer 氏

  • FontParser

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意を持って作成された .dfont ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:.dfont ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-4484:HP の Zero Day Initiative に協力する Gaurav Baruah 氏

  • FontParser

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:巧妙に細工された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:フォントファイルの処理にバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-4483:Apple

  • Foundation

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意を持って作成された XML ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:XML パーサにバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-4485:Apple

  • Intel Graphics Driver

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:Intel グラフィックドライバに複数の脆弱性がある。

    説明:Intel のグラフィックドライバに複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、システム権限で任意のコードが実行される可能性があります。このアップデートでは、バウンドチェックを強化することで問題を解決しています。

    CVE-ID

    CVE-2014-8819:Google Project Zero の Ian Beer 氏

    CVE-2014-8820:Google Project Zero の Ian Beer 氏

    CVE-2014-8821:Google Project Zero の Ian Beer 氏

  • IOAcceleratorFamily

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:特定の IOService userclient タイプの処理に、ヌルポインタ逆参照の脆弱性が存在します。この問題は、IOAcceleratorFamily コンテキストの検証を強化することで解決されました。

    CVE-ID

    CVE-2014-4486:Google Project Zero の Ian Beer 氏

  • IOHIDFamily

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOHIDFamily に、バッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-4487:TaiG Jailbreak Team

  • IOHIDFamily

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOHIDFamily によるリソースキューメタデータの処理に、検証の脆弱性が存在します。この問題は、メタデータの検証を強化することで解決されました。

    CVE-ID

    CVE-2014-4488:Apple

  • IOHIDFamily

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOHIDFamily によるイベントキューの処理に、ヌルポインタ逆参照の脆弱性が存在します。この問題は、IOHIDFamily イベントキュー初期化処理の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-4489:@beist

  • IOHIDFamily

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意のあるアプリケーションを実行すると、カーネル内で任意のコードが実行される場合がある。

    説明:IOHIDFamily ドライバによって販売されたユーザクライアントに、バウンドチェック機能に関する問題が存在します。これにより、悪意のあるアプリケーションがカーネルアドレス空間の任意の個所を上書きできる可能性があります。この問題は、脆弱なユーザクライアント方法を削除することで解決されました。

    CVE-ID

    CVE-2014-8822:HP 社の Zero Day Initiative に協力する Vitaliy Toropov 氏

  • IOKit

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOKit 関数の処理に、整数オーバーフローの脆弱性が存在します。この問題は、IOKit API 引数の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-4389:Google Project Zero の Ian Beer 氏

  • IOUSBFamily

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:特権のあるアプリケーションが、カーネルメモリから任意のデータを読み取れる可能性がある。

    説明:IOUSB コントローラによるユーザクライアント関数の処理に、メモリアクセスの脆弱性が存在します。この問題は、引数検証を改善することで解決されました。

    CVE-ID

    CVE-2014-8823:Google Project Zero の Ian Beer 氏

  • Kerberos

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:Kerberos libgssapi ライブラリが、ぶら下がっているポインタのあるコンテキストトークンに戻ります。この問題はステータス管理を改善したことで解決されました。

    CVE-ID

    CVE-2014-5352

  • カーネル

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:カスタムのキャッシュモードを指定すると、カーネルの読み込み専用共有メモリセグメントに書き込みできる可能性があります。この問題は、書き込みのアクセス権を一部のカスタムのキャッシュモードの悪影響として許可しないことで解決されました。

    CVE-ID

    CVE-2014-4495:Google Project Zero の Ian Beer 氏

  • カーネル

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IODataQueue オブジェクトの特定のメタデータフィールドの処理に、検証の脆弱性が存在します。この問題は、メタデータの検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8824:@PanguTeam

  • カーネル

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:ローカルの攻撃者がカーネルへのディレクトリサービスの応答になりすまし、上位のアクセス権を取得し、カーネルの実行を取得する可能性がある。

    説明:プロセスの解決、フラグ処理、およびエラー処理を行うディレクトリサービスの identitysvc の検証に問題が存在します。この問題は、検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8825:CrowdStrike の Alex Radocea 氏

  • カーネル

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:ローカルユーザがカーネルメモリのレイアウトを判断できる可能性がある。

    説明:ネットワーク統計インターフェイスに複数の未初期化メモリの脆弱性が存在し、カーネルメモリコンテンツが漏洩する可能性があります。この問題は、メモリの初期化処理を強化することで解決されました。

    CVE-ID

    CVE-2014-4371:Google Security Team の Fermin J. Serna 氏

    CVE-2014-4419:Google Security Team の Fermin J. Serna 氏

    CVE-2014-4420:Google Security Team の Fermin J. Serna 氏

    CVE-2014-4421:Google Security Team の Fermin J. Serna 氏

  • カーネル

    対象 OS:OS X Mavericks v10.9.5

    影響:ネットワーク上で特権的な地位を利用した第三者により、サービス運用妨害状態にされる脆弱性がある。

    説明:IPv6 パケットの処理に、競合状態 (race condition) の脆弱性が存在します。この問題は、ロック状態のチェックを強化したことで解決されました。

    CVE-ID

    CVE-2011-2391

  • カーネル

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:巧妙に細工されたアプリケーションや、悪用されたアプリケーションにより、カーネルのアドレスを取得される可能性がある。

    説明:カーネル拡張機能に関連する API の処理に情報漏洩の問題がありました。OSBundleMachOHeaders キーが含まれる応答に、アドレス空間レイアウトのランダム化機能による保護をバイパスするのに役立つカーネルアドレスが含まれていた可能性があります。この問題は、アドレスを返す前にアドレスのスライドを停止することによって解決されています。

    CVE-ID

    CVE-2014-4491:@PanguTeam、Stefan Esser 氏

  • カーネル

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOSharedDataQueue オブジェクトの特定のメタデータフィールドの処理に、検証の脆弱性が存在します。この問題は、メタデータを再配置することで解決されました。

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意のある JAR ファイルが Gatekeeper チェックを回避する可能性がある。

    説明:アプリケーションの起動の処理に問題が存在し、特定の悪意のある JAR ファイルが Gatekeeper チェックを回避できる可能性があります。この問題は、ファイルタイプのメタデータの処理を強化することで解決されました。

    CVE-ID

    CVE-2014-8826:Amplia Security の Hernan Ochoa 氏

  • libnetcore

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意のあるサンドボックス App が networkd デーモンを侵害してしまう可能性がある。

    説明:networkd によるプロセス間通信の処理に、複数のタイプの混乱の問題が存在します。networkd に悪意を持ってフォーマットされたメッセージを送信することで、任意のコードが networkd プロセスとして実行される可能性があります。この問題は、型チェックを強化することで解決されました。

    CVE-ID

    CVE-2014-4492:Google Project Zero の Ian Beer 氏

  • ログインウインドウ

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:Mac のスリープ解除直後にロックできない可能性がある。

    説明:ロック画面のレンダリングに問題が存在します。この問題は、ロック中の画面のレンダリングを強化することで解決されました。

    CVE-ID

    CVE-2014-8827:Mono の Xavier Bertels 氏、および複数の OS X シードテスター

  • lukemftp

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:コマンドライン ftp プロトコルを使って悪意のある http サーバからファイルを取得すると、任意のコードが実行される可能性がある。

    説明:HTTP リダイレクトの処理にコマンドインジェクションの問題が存在します。この問題は、特殊文字の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8517

  • ntpd

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:暗号化認証が有効な ntp デーモンを使うと、情報漏洩の可能性がある。

    説明:入力検証に関する複数の問題が ntpd にあります。この問題は、データの検証を強化することで解決されました。

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:OpenSSL 0.9.8za には複数の脆弱性があり、その 1 つとして攻撃者が接続をダウングレードして、ライブラリを使用するアプリケーションで弱い暗号化スイートコードが使われる可能性がある。

    説明:OpenSSL 0.9.8za に複数の脆弱性が存在します。この問題は、OpenSSL をバージョン 0.9.8zc にアップデートすることで解消されました。

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • サンドボックス

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5

    影響:サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。

    説明:サンドボックスのキャッシュに設計上の問題があり、サンドボックス化されたアプリケーションがキャッシュへの書き込みアクセス権を取得できる可能性があります。この問題は、「com.apple.sandbox」セグメントを含むパスへの書き込みアクセスを制限することで解決されました。この問題は、OS X Yosemite v10.10 以降のシステムには関係がありません。

    CVE-ID

    CVE-2014-8828:Apple

  • SceneKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5

    影響:悪意のあるアプリケーションが任意のコードを実行して、ユーザ情報の侵害を引き起こす可能性がある。

    説明:SceneKit に複数の境界外の書き込みの問題が存在します。この問題は、バウンドチェックを強化することで解決されました。

    CVE-ID

    CVE-2014-8829:Google Security Team の Jose Duart 氏

  • SceneKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:悪意を持って作成された Collada ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。

    説明:SceneKit の Collada ファイルの処理でヒープバッファオーバーフローが発生します。悪意を持って作成された Collada ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、accessor 要素の検証を強化することで解決されました。

    CVE-ID

    CVE-2014-8830:Google Security Team の Jose Duart 氏

  • セキュリティ

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:ダウンロードしたアプリケーションが失効したデベロッパ ID で署名されていても Gatekeeper チェックを通過する可能性がある。

    説明:キャッシュされたアプリケーションの証明書情報を評価する方法に問題が存在します。この問題は、キャッシュロジックの改善により解決されました。

    CVE-ID

    CVE-2014-8838:Apple

  • security_taskgate

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:App が別の App に属するキーチェーンの項目にアクセスできる可能性がある。

    説明:キーチェーンのアクセス制御に脆弱性が存在します。自己署名またはデベロッパ ID 証明書で署名されたアプリケーションが、キーチェーングループに基づいたアクセス制御リストのキーチェーンの項目にアクセスできる可能性があります。この問題は、キーチェーングループへのアクセスを許可する際に署名 ID を検証することによって解決されました。

    CVE-ID

    CVE-2014-8831:Apple

  • Spotlight

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:メールの送信者が受信者の IP アドレスを判断できる可能性がある。

    説明:Spotlight はメールの「メッセージ内のリモートコンテンツを読み込む」設定をチェックしません。この問題は、設定のチェックを強化することで解決されました。

    CVE-ID

    CVE-2014-8839:The New York Times の John Whitehead 氏、LastFriday.no の Frode Moe 氏

  • Spotlight

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:Spotlight が予期しない情報を外部ハードドライブに保存する可能性がある。

    説明:Spotlight に、索引作成時にメモリコンテンツが外部ハードドライブに書き込まれる可能性がある問題が存在します。この問題はメモリ管理を改善することで解決されました。

    CVE-ID

    CVE-2014-8832:F-Secure

  • SpotlightIndex

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:Spotlight にユーザに属さないファイルの結果が表示される可能性がある。

    説明:Spotlight のアクセス権のキャッシュの処理に、デシリアライゼーションの問題が存在します。ユーザが Spotlight クエリを実行すると、ユーザが読み込むのに十分な権限のない参照ファイルが検索結果に表示される可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2014-8833:独立したテクノロジーコンサルタントの David J Peacock 氏

  • sysmond

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 および v10.10.1

    影響:不正なアプリケーションに root 権限を取得され、任意のコードを実行される可能性がある。

    説明:sysmond にタイプの混乱の脆弱性があり、ローカルアプリケーションが権限を昇格できる可能性があります。この問題は、型チェックを強化することで解決されました。

    CVE-ID

    CVE-2014-8835:Google Project Zero の Ian Beer 氏

  • UserAccountUpdater

    対象 OS:OS X Yosemite v10.10 および v10.10.1

    影響:プリント関連の環境設定ファイルに PDF 書類に関する機密情報が含まれる可能性がある。

    説明:OS X Yosemite v10.10 では、「プリント」ダイアログから作成された PDF ファイルのパスワード保護の処理で、パスワードがプリント環境設定ファイルに含まれる可能性がある問題を解決しています。このアップデートでは、プリント環境設定ファイルに表示されていた可能性のある、このような関係のない情報が削除されています。

    CVE-ID

    CVE-2014-8834:Apple

注意:OS X Yosemite 10.10.2 には、Safari 8.0.3 のセキュリティコンテンツも含まれています。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: