OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006 のセキュリティコンテンツについて

OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006

  • Apache

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4

    影響:Apache 2.4.16 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、サービス拒否が引き起こされる可能性がある。

    説明:2.4.16 より前のバージョンの Apache に複数の脆弱性が存在します。この問題は Apache を 2.4.16 にアップデートすることで解決されました。

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4

    影響:PHP 5.5.20 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。

    説明:5.5.20 より前のバージョンの PHP に複数の脆弱性が存在します。この問題は Apache を 5.5.27 にアップデートすることで解決されました。

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD プラグイン

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、ローカルユーザのパスワードを変更できる可能性がある。

    説明:特定の状況で、パスワード認証にステータス管理の問題が存在します。この問題はステータス管理を改善したことで解決されました。

    CVE-ID

    CVE-2015-3799:HP の Zero Day Initiative に協力する匿名の研究者

  • AppleGraphicsControl

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:AppleGraphicsControl に脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性がありました。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-5768:KeenTeam の JieTao Yang 氏

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:IOBluetoothHCIController にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3779:Facebook Security の Teddy Reed 氏

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:メモリ管理に脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性があります。この問題はメモリ管理を改善することで解決されました。

    CVE-ID

    CVE-2015-3780:Emaze Networks の Roberto Paleari 氏および Aristide Fattori 氏

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のある App が、ほかの iCloud デバイスから通知にアクセスできる可能性がある。

    説明:悪意のある App が、Bluetooth とペアリングされている Mac または iOS デバイスの通知センターの通知に Apple 通知センターサービス経由でアクセスできる可能性があります。この問題は、Handoff 機能を使っているデバイス、または同じ iCloud アカウントにログインしているデバイスで発生します。この問題は、Apple 通知センターサービスへのアクセスを無効にすることで解決されました。

    CVE-ID

    CVE-2015-3786:Xiaolong Bai 氏 (清華大学)、System Security Lab (インディアナ大学)、Tongxin Li 氏 (北京大学)、XiaoFeng Wang 氏 (インディアナ大学)

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ネットワーク上で特権的な地位を悪用した攻撃者が、悪意のある Bluetooth パケットを使って拒否攻撃を実行できる可能性がある。

    説明:Bluetooth ACL パケットの解析に入力検証の問題があります。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3787:Trend Micro

  • Bluetooth

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:blued による XPC メッセージの処理に、複数のバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-3777:[PDX] の mitp0sh 氏

  • Bootp

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のある Wi-Fi ネットワークによって、デバイスが過去にアクセスしたネットワークを特定される可能性がある。

    説明:Wi-Fi ネットワークに接続したときに、iOS は、DNAv4 プロトコルを通じて過去にアクセスした MAC アドレスをブロードキャストします。この問題は、暗号化されていない Wi-Fi ネットワークで DNAv4 を無効にすることで解決されました。

    CVE-ID

    CVE-2015-3778:オックスフォード大学 Oxford Internet Institute (EPSRC Being There プロジェクト) の Piers O'Hanlon 氏

  • CloudKit

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、以前サインインしたユーザの iCloud ユーザレコードにアクセスできる可能性がある。

    説明:CloudKit で、ユーザがサインアウトする際、ステータス不一致の脆弱性が存在します。この問題は、ステータス処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3782:トロント大学の Deepkanwal Plaha 氏

  • CoreMedia の再生

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:CoreMedia の再生にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-5777:Apple

    CVE-2015-5778:Apple

  • CoreText

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5761:John Villamil (@day6reak) 氏、Yahoo Pentest Team

  • CoreText

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5755:John Villamil (@day6reak) 氏、Yahoo Pentest Team

  • curl

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:7.38.0 より前の cURL と libcurl に複数の脆弱性が存在し、この脆弱性に起因する問題として、リモート攻撃者が同一生成元ポリシーをバイパスできる可能性がある。

    説明:7.38.0 より前のバージョンの cURL と libcurl に複数の脆弱性が存在します。この問題は cURL を 7.43.0 にアップデートすることで解決されました。

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:連続した Unicode 文字列を処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:Unicode 文字の処理にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-5750:Safeye Team (www.safeye.org) の M1x7e1 氏

  • システム環境設定の「日付と時刻」パネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:システム時間に依存するアプリケーションで予期しない動作が生じることがある。

    説明:システム環境設定の「日付と時刻」の変更操作における認証チェックに脆弱性が存在します。この問題は、認証チェックを追加することで解決されました。

    CVE-ID

    CVE-2015-3757:Mark S C Smith 氏

  • 辞書アプリケーション

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ネットワーク上で特権的な地位を悪用した攻撃者が、ユーザの辞書 App の検索クエリを傍受できる可能性がある。

    説明:辞書 App の脆弱性が原因で、ユーザ通信が安全に保護されない可能性があります。この問題は、クエリを HTTPS に移動することで解決されています。

    CVE-ID

    CVE-2015-3774:EEQJ の Jeffrey Paul 氏、Google Security Team の Jan Bee 氏

  • DiskImages

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された DMG ファイルを処理すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。

    説明:悪意のある DMG 画像の解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3800:Yahoo Pentest Team の Frank Graziano 氏

  • dyld

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:dyld にパス検証の問題が存在します。この問題は環境のサニタイズ処理を改善したことで解決されました。

    CVE-ID

    CVE-2015-3760:beist of grayhash 氏、Stefan Esser 氏

  • FontParser

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3804:Apple

    CVE-2015-5775:Apple

  • FontParser

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5756:John Villamil (@day6reak) 氏、Yahoo Pentest Team

  • Groff

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:pdfroff に複数の問題が存在する。

    説明:pdfroff における複数の脆弱性が原因で、もっとも深刻な場合は、任意のファイルシステムが変更される可能性があります。この問題は pdfroff を削除することによって解決されています。

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された TIFF 画像を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:TIFF 画像の処理にメモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-5758:Apple

  • ImageIO

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された Web サイトにアクセスすると、プロセスメモリが漏洩する可能性がある。

    説明:ImageIO の PNG 画像と TIFF 画像の処理に脆弱性が存在し、これを悪用されると、初期化されていないメモリにアクセスされる可能性があります。悪意を持って作成された Web サイトにアクセスすると、プロセスメモリのデータが Web サイトに送信される可能性があります。この問題は、メモリ初期化処理を改良し、PNG 画像と TIFF 画像の検証を強化することによって解決されています。

    CVE-ID

    CVE-2015-5781:Michal Zalewski 氏

    CVE-2015-5782:Michal Zalewski 氏

  • Install Framework Legacy

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションに root 権限を取得され、任意のコードを実行される可能性がある。

    説明:Install.framework の「runner」バイナリによる権限のドロップ方法に脆弱性が存在します。この問題は、権限管理を改善することで解決されました。

    CVE-ID

    CVE-2015-5784:Google Project Zero の Ian Beer 氏

  • Install Framework Legacy

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:Install.framework の「runner」バイナリに競合状態の脆弱性が存在し、権限がドロップされる可能性があります。この問題は、オブジェクトのロック機構を強化することで解決されました。

    CVE-ID

    CVE-2015-5754:Google Project Zero の Ian Beer 氏

  • IOFireWireFamily

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:IOFireWireFamily にメモリ破損の脆弱性が存在します。この問題は、入力検証を追加することで解決されました。

    CVE-ID

    CVE-2015-3769:Ilja van Sprundel 氏

    CVE-2015-3771:Ilja van Sprundel 氏

    CVE-2015-3772:Ilja van Sprundel 氏

  • IOGraphics

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOGraphics にメモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3770:Ilja van Sprundel 氏

    CVE-2015-5783:Ilja van Sprundel 氏

  • IOHIDFamily

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:IOHIDFamily にバッファオーバーフローの脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-5774:TaiG Jailbreak Team

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:mach_port_space_info インターフェイスに脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性があります。この問題は、mach_port_space_info インターフェイスを無効にすることで解決されました。

    CVE-ID

    CVE-2015-3766:Alibaba Mobile Security Team の Cererdlong 氏、@PanguTeam

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOKit 関数の処理に、整数オーバーフローの脆弱性が存在します。この問題は、IOKit API 引数の検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3768:Ilja van Sprundel 氏

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザから、システムのサービス運用妨害を受ける可能性がある。

    説明:fasttrap ドライバのリソースが枯渇する問題があります。この問題は、メモリ処理を改善したことで解決されました。

    CVE-ID

    CVE-2015-5747:m00nbsd の Maxime VILLARD 氏

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザから、システムのサービス運用妨害を受ける可能性がある。

    説明:HFS ボリュームをマウントする際、検証の脆弱性が存在します。この問題はチェック事項を追加することで解決されました。

    CVE-ID

    CVE-2015-5748:m00nbsd の Maxime VILLARD 氏

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションによって、署名のないコードが実行される可能性がある。

    説明:巧妙に細工された実行可能ファイルによって、署名のないコードが署名済みのコードに付加される可能性があります。この問題は、コード署名の検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3806:TaiG Jailbreak Team

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:巧妙に細工された実行可能ファイルによって、署名のない悪意のあるコードが実行できるようになる可能性がある。

    説明:多層アーキテクチャの実行可能ファイルの評価に脆弱性が存在し、これを悪用されると、署名のないコードの実行が許可される可能性があります。この問題は、実行可能ファイルの検証を強化することで解決されました。

    CVE-ID

    CVE-2015-3803:TaiG Jailbreak Team

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザが署名されていないコードを実行する可能性がある。

    説明:Mach-O ファイルの処理に、検証の脆弱性が存在します。この問題はチェック事項を追加することで解決されました。

    CVE-ID

    CVE-2015-3802:TaiG Jailbreak Team

    CVE-2015-3805:TaiG Jailbreak Team

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された plist を解析すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。

    説明:悪意のある plist の処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3776:Facebook Security の Teddy Reed 氏、Jinx Germany の Patrick Stein (@jollyjinx) 氏

  • カーネル

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:パス検証の問題が存在します。この問題は環境のサニタイズ処理を改善したことで解決されました。

    CVE-ID

    CVE-2015-3761:Apple

  • Libc

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された正規表現を処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:TRE ライブラリにメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3796:Google Project Zero の Ian Beer 氏

    CVE-2015-3797:Google Project Zero の Ian Beer 氏

    CVE-2015-3798:Google Project Zero の Ian Beer 氏

  • Libinfo

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:AF_INET6 ソケットの処理にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-5776:Apple

  • libpthread

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:syscall の処理にメモリ破損の脆弱性が存在します。この問題は、ロック状態のチェックを強化したことで解決されました。

    CVE-ID

    CVE-2015-5757:Qihoo 360 の Lufeng Li 氏

  • libxml2

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:2.9.2 より前のバージョンの libxml2 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、リモート攻撃者によってサービス拒否が引き起こされる可能性がある。

    説明:2.9.2 より前のバージョンの libxml2 に複数の脆弱性が存在します。この問題は libxml2 を 2.9.2 にアップデートすることで解決されました。

    CVE-ID

    CVE-2012-6685:Google の Felix Groebert 氏

    CVE-2014-0191:Google の Felix Groebert 氏

  • libxml2

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4

    影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。

    説明:libxml2 にメモリアクセスの脆弱性が存在します。この問題は、メモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2014-3660:Google の Felix Groebert 氏

  • libxml2

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。

    説明:XML の解析にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3807:Apple

  • libxpc

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:悪意のある XPC メッセージの処理にメモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-3795:Mathew Rowley 氏

  • mail_cmds

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザが任意のシェルコマンドを実行できる可能性がある。

    説明:mailx のメールアドレスの解析に、検証の脆弱性が存在します。この問題はサニタイズ処理を改善したことで解決されました。

    CVE-ID

    CVE-2014-7844

  • OSX の通知センター

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意のあるアプリケーションが、ユーザが以前表示したすべての通知にアクセスできる可能性がある。

    説明:通知センターの脆弱性が原因で、ユーザ通知が適切に削除されない問題があります。この問題は、ユーザが消去した通知を正しく削除することで解決されています。

    CVE-ID

    CVE-2015-3764:Jonathan Zdziarski 氏

  • ntfs

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。

    説明:NTFS にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-5763:Emaze Networks の Roberto Paleari 氏および Aristide Fattori 氏

  • OpenSSH

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:リモート攻撃者が、ログイン試行に失敗した後の待機時間を回避し、総当たり攻撃を実行できる可能性がある。

    説明:キーボード対話型認証を行うデバイスの処理に脆弱性が存在します。この問題は、認証要求の検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:0.9.8zg より前のバージョンの OpenSSL に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、リモート攻撃者によってサービス拒否が引き起こされる可能性がある。

    説明:0.9.8zg より前のバージョンの OpenSSL に複数の脆弱性が存在します。これらの問題は、OpenSSL をバージョン 0.9.8zg にアップデートすることで解決されました。

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された正規表現を解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:Perl の正規表現の解析に、整数オーバーフローの問題が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:攻撃者がアプリケーションを突然終了させたり、適切な認証を受けずにデータにアクセスできる可能性がある。

    説明:PostgreSQL 9.2.4 に複数の脆弱性が存在します。この問題は、PostgreSQL を 9.2.13 にアップデートすることで解決されました。

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:Python 2.7.6 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。

    説明:2.7.6 より前のバージョンの Python に複数の脆弱性が存在します。この問題は、Python を 2.7.10 にアップデートすることで解決されました。

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された Office ドキュメントを解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:Office ドキュメントの処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-5773:Apple

  • QL Office

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された XML ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

    説明:XML ファイルの解析に、外部エンティティの処理の問題が存在します。この問題は、解析を強化することで解決されました。

    CVE-ID

    CVE-2015-3784:INTEGRITY S.A. の Bruno Morisson 氏

  • Quartz Composer Framework

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された QuickTime ファイルを解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:QuickTime ファイルの解析にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-5771:Apple

  • クイックルック

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:以前表示した Web サイトを検索すると、Web ブラウザが起動され、その Web サイトがレンダリングされる可能性がある。

    説明:QuickLook で JavaScript が実行される問題があります。この問題は、JavaScript の実行を禁止することで解決されています。

    CVE-ID

    CVE-2015-3781:Facebook の Andrew Pouliot 氏、Qubole の Anto Loyola 氏

  • QuickTime 7

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたファイルを処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:QuickTime にメモリ破損の脆弱性が複数存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753:Apple

    CVE-2015-5779:Apple

  • QuickTime 7

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたファイルを処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:QuickTime にメモリ破損の脆弱性が複数存在します。これらの問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3765:Audio Poison の Joe Burnett 氏

    CVE-2015-3788:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏

    CVE-2015-3789:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏

    CVE-2015-3790:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏

    CVE-2015-3791:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏

    CVE-2015-3792:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏

    CVE-2015-5751:WalkerFuz 氏

  • SceneKit

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された Collada ファイルを表示すると、任意のコードが実行される可能性がある。

    説明:SceneKit による Collada の処理に、ヒープバッファオーバーフローの脆弱性が存在します。この問題は、入力検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5772:Apple

  • SceneKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4

    影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:SceneKit にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3783:Google Security Team の Haris Andrianakis 氏

  • セキュリティ

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:通常ユーザが適切な認証を受けずに管理者権限にアクセスできる可能性がある。

    説明:ユーザ認証の処理に脆弱性が存在します。この問題は、認証チェックを強化することで解決されました。

    CVE-ID

    CVE-2015-3775:[Eldon Ahrold 氏]

  • SMBClient

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:SMB クライアントにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3773:Ilja van Sprundel 氏

  • 読み上げ UI

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:音声による警告を有効にした状態で、悪意を持って作成された Unicode 文字列を解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:Unicode 文字列の処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3794:Refinitive の Adam Greenbaum 氏

  • sudo

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:1.7.10p9 より前のバージョンの sudo に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、攻撃者が任意のファイルにアクセスできる可能性がある。

    説明:1.7.10p9 より前のバージョンの sudo に複数の脆弱性が存在します。この問題は、sudo をバージョン 1.7.10p9 にアップデートすることで解決されました。

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:tcpdump 4.7.3 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、サービス拒否が引き起こされる可能性がある。

    説明:4.7.3 より前のバージョンの tcpdump に複数の脆弱性が存在します。この問題は、tcpdump を 4.7.3 にアップデートすることで解決されました。

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • テキストフォーマット

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成されたテキストファイルを解析すると、ユーザ情報が漏洩する可能性がある。

    説明:テキストエディットの解析に、XML 外部エンティティの参照に関する問題が存在します。この問題は、解析を強化することで解決されました。

    CVE-ID

    CVE-2015-3762:Evernote Security Team の Xiaoyong Wu 氏

  • UDF

    対象 OS:OS X Yosemite v10.10 〜 v10.10.4

    影響:悪意を持って作成された DMG ファイルを処理すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。

    説明:悪意のある DMG 画像の解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-3767:beist of grayhash 氏

OS X Yosemite v10.10.5 には、Safari 8.0.8 のセキュリティコンテンツが含まれています。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: