iOS 9.3.2 のセキュリティコンテンツについて

iOS 9.3.2 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iOS 9.3.2

  • アクセシビリティ

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるアプリケーションにより、重要なユーザ情報が漏洩する可能性がある。

    説明:入力検証を強化することで、領域外読み込みの脆弱性に対処しました。

    CVE-ID

    CVE-2016-1790:Rapelly Akhil 氏

  • CFNetwork Proxies

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。

    説明:HTTP リクエストおよび HTTPS リクエストの処理に、情報漏洩の脆弱性が存在します。この問題は、URL の処理を改善することで解決されました。

    CVE-ID

    CVE-2016-1801:Context Information Security の Alex Chapman 氏および Paul Stone 氏

  • CommonCrypto

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるアプリケーションにより、重要なユーザ情報が漏洩する可能性がある。

    説明:CCCrypt における戻り値の処理に脆弱性が存在します。この問題は、鍵長の管理を強化することで解決されました。

    CVE-ID

    CVE-2016-1802:Klaus Rodewig 氏

  • CoreCapture

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1803:Google Project Zero の Ian Beer 氏、Trend Micro の Zero Day Initiative に協力する daybreaker 氏

  • ディスクイメージ

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ローカルの攻撃者にカーネルメモリを読み取られる可能性がある。

    説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1807:Google Project Zero の Ian Beer 氏

  • ディスクイメージ

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:ディスクイメージの解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2016-1808:Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)

  • ImageIO

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成されたイメージを処理すると、サービス運用妨害を受ける可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1811:Lander Brandt 氏 (@landaire)

  • IOAcceleratorFamily

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1817:Trend Micro の Zero Day Initiative に協力する Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)

    CVE-2016-1818:Trend Micro の Juwei Lin 氏、Trend Micro の Zero Day Initiative に協力する sweetchip@GRAYHASH 氏

    CVE-2016-1819:Google Project Zero の Ian Beer 氏

    2016 年 12 月 13 日に更新

  • IOAcceleratorFamily

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションから、サービス運用妨害を受ける可能性がある。

    説明:ロック処理を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1814:Trend Micro の Juwei Lin 氏

  • IOAcceleratorFamily

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1813:Google Project Zero の Ian Beer 氏

  • IOHIDFamily

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1823:Google Project Zero の Ian Beer 氏

    CVE-2016-1824:Tencent の KeenLab (@keen_lab) の Marco Grassi 氏 (@marcograss)

    CVE-2016-4650:HP の Zero Day Initiative に協力する Trend Micro の Peter Pi 氏

  • カーネル

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1827:Brandon Azad 氏

    CVE-2016-1828:Brandon Azad 氏

    CVE-2016-1829:CESG

    CVE-2016-1830:Brandon Azad 氏

    CVE-2016-1831:Brandon Azad 氏

  • libc

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ローカルの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1832:Karl Williamson 氏

  • libxml2

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された XML を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1833:Mateusz Jurczyk 氏

    CVE-2016-1834:Apple

    CVE-2016-1835:南洋理工大学の Wei Lei 氏および Liu Yang 氏

    CVE-2016-1836:南洋理工大学の Wei Lei 氏および Liu Yang 氏

    CVE-2016-1837:南洋理工大学の Wei Lei 氏および Liu Yang 氏

    CVE-2016-1838:Mateusz Jurczyk 氏

    CVE-2016-1839:Mateusz Jurczyk 氏

    CVE-2016-1840:Kostya Serebryany 氏

  • libxslt

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

    説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1841:Sebastian Apelt 氏

  • MapKit

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。

    説明:共有リンクが HTTPS ではなく HTTP で送信されていました。この問題は、共有リンクに対して HTTPS を有効にすることで解決されました。

    CVE-ID

    CVE-2016-1842:Richard Shupak 氏 (https://www.linkedin.com/in/rshupak)

  • OpenGL

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1847:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏

  • Safari

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ユーザが閲覧履歴を完全に削除できない場合がある。

    説明:「履歴と Web サイトデータを消去」で履歴が消去されませんでした。この問題は、データの削除操作を改善することで解決されました。

    CVE-ID

    CVE-2016-1849:匿名の研究者

  • Siri

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:iOS デバイスに物理的にアクセスできる人物が、Siri を使って、ロック画面から連絡先や写真にアクセスできる可能性がある。

    説明:ロック画面で Siri の実行結果にアクセスする際に、ステータス管理の脆弱性が存在します。この問題は、デバイスがロックされている間は Twitter の結果でデータ検出を無効にすることで解決されました。

    CVE-ID

    CVE-2016-1852:videosdebarraquito 氏

  • WebKit

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のある Web サイトにアクセスすると、別の Web サイトからデータが開示される可能性がある。

    説明:svg イメージの解析処理における汚染追跡不十分の脆弱性に、汚染追跡を強化することで対処しました。

    CVE-ID

    CVE-2016-1858:匿名の研究者

  • WebKit

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1854:Trend Micro の Zero Day Initiative に協力する匿名者

    CVE-2016-1855:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏

    CVE-2016-1856:Trend Micro の Zero Day Initiative に協力する lokihardt 氏

    CVE-2016-1857:Trend Micro の Zero Day Initiative に協力する Tencent の KeenLab の Jeonghoon Shin@A.D.D 氏、Liang Chen 氏、Zhen Feng 氏、wushi 氏

  • WebKit キャンバス

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1859:Trend Micro の Zero Day Initiative に協力する Tencent の KeenLab の Liang Chen 氏、wushi 氏

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: