macOS Sierra 10.12.5、セキュリティアップデート 2017-002 El Capitan、セキュリティアップデート 2017-002 Yosemite のセキュリティコンテンツについて

macOS Sierra 10.12.5、セキュリティアップデート 2017-002 El Capitan、セキュリティアップデート 2017-002 Yosemite のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。Apple との通信は、Apple Product Security PGP キーで暗号化できます。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

macOS Sierra 10.12.5、セキュリティアップデート 2017-002 El Capitan、セキュリティアップデート 2017-002 Yosemite

2017 年 5 月 15 日リリース

802.1X

対象 OS:macOS Sierra 10.12.4

影響:802.1X 認証を採用した悪意のあるネットワークが、ユーザのネットワーク資格情報を傍受できる可能性がある。

説明:証明書の変更時の EAP-TLS における証明書の検証に問題がありました。この問題は、証明書の検証を強化することで解決されました。

CVE-2017-6988:Hewlett Packard Enterprise 子会社の Aruba の Tim Cappalli 氏

Accessibility Framework

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにシステム権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-6978:Google Project Zero の Ian Beer 氏

CoreAnimation

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:悪意を持って作成されたデータを処理すると、任意のコードが実行される可能性がある。

説明:メモリ処理を強化し、メモリ消費の脆弱性に対処しました。

CVE-2017-2527:Google Project Zero の Ian Beer 氏

CoreAudio

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2017-2502:Qihoo360 Qex Team の Yangkang 氏 (@dnpushme)

DiskArbitration

対象 OS:macOS Sierra 10.12.4 および OS X El Capitan 10.11.6

影響:アプリケーションにシステム権限を取得される可能性がある。

説明:ファイルシステムの制限を追加で設けることで、競合状態の脆弱性に対処しました。

CVE-2017-2533:Trend Micro の Zero Day Initiative に協力する Samuel Groß 氏および Niklas Baumstark 氏

HFS

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2017-6990:Trend Micro の Zero Day Initiative に協力する Chaitin Security Research Lab (@ChaitinTech)

iBooks

対象 OS:macOS Sierra 10.12.4

影響:悪意を持って作成されたブックが、ユーザの許可なく任意の Web サイトを開く可能性がある。

説明:ステート管理を改善し、URL 処理における脆弱性に対処しました。

CVE-2017-2497:Jun Kokatsu 氏 (@shhnjk)

iBooks

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにルート権限を取得され、任意のコードを実行される可能性がある。

説明:シンボリックリンクのパス検証ロジックに脆弱性が存在します。この問題は、パスのサニタイズ処理を改善することで解決されました。

CVE-2017-6981:YSRC (sec.ly.com) の evi1m0 氏

iBooks

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにサンドボックスを回避される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-6986:YSRC (sec.ly.com) の evi1m0 氏および Knownsec 404 Security Team の Heige 氏 (SuperHei)

Intel Graphics Driver

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2503:360Nirvan team の sss 氏および Axis 氏

IOGraphics

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2545:Trend Micro の Zero Day Initiative に協力する 360 Security (@mj0011sec)

IOSurface

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-6979:Zimperium zLabs の Adam Donenfeld 氏

カーネル

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2494:Google Project Zero の Jann Horn 氏

カーネル

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2017-2501:Google Project Zero の Ian Beer 氏

カーネル

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2017-2507:Google Project Zero の Ian Beer 氏

CVE-2017-2509:Google Project Zero の Jann Horn 氏

CVE-2017-6987:Synack の Patrick Wardle 氏

カーネル

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2017-2516:Google Project Zero の Jann Horn 氏

カーネル

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2546:Trend Micro の Zero Day Initiative に協力する Chaitin Security Research Lab (@ChaitinTech)

Multi-Touch

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2542:Trend Micro の Zero Day Initiative に協力する 360 Security (@mj0011sec)

CVE-2017-2543:Trend Micro の Zero Day Initiative に協力する 360 Security (@mj0011sec)

NVIDIA グラフィックスドライバ

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにカーネル権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-6985:Qihoo 360 の Nirvan Team の Axis 氏および sss 氏、Qihoo 360 の IceSword Lab の Simon Huang 氏 (@HuangShaomang)

サンドボックス

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションにサンドボックスを回避される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2512:ポルト大学 Faculty of Sciences の Federico Bento 氏

セキュリティ

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションにサンドボックスを回避される可能性がある。

説明:入力検証を強化し、リソース枯渇の問題に対処しました。

CVE-2017-2535:Trend Micro の Zero Day Initiative に協力する Samuel Groß 氏および Niklas Baumstark 氏

Speech Framework

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにサンドボックスを回避される可能性がある。

説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2017-2534:Trend Micro の Zero Day Initiative に協力する Samuel Groß 氏および Niklas Baumstark 氏

Speech Framework

対象 OS:macOS Sierra 10.12.4

影響:アプリケーションにサンドボックスを回避される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-6977:Trend Micro の Zero Day Initiative に協力する Samuel Groß 氏および Niklas Baumstark 氏

SQLite

対象 OS:macOS Sierra 10.12.4

影響:悪意を持って作成された SQL クエリによって、任意のコードが実行される可能性がある。

説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。

CVE-2017-2513:OSS-Fuzz により検出

SQLite

対象 OS:macOS Sierra 10.12.4

影響:悪意を持って作成された SQL クエリによって、任意のコードが実行される可能性がある。

説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2017-2518:OSS-Fuzz により検出

CVE-2017-2520:OSS-Fuzz により検出

SQLite

対象 OS:macOS Sierra 10.12.4

影響:悪意を持って作成された SQL クエリによって、任意のコードが実行される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2519:OSS-Fuzz により検出

SQLite

対象 OS:macOS Sierra 10.12.4

影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2017-6983:Trend Micro の Zero Day Initiative に協力する Chaitin Security Research Lab (@ChaitinTech)

CVE-2017-6991:Trend Micro の Zero Day Initiative に協力する Chaitin Security Research Lab (@ChaitinTech)

TextInput

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:悪意を持って作成されたデータを解析すると、任意のコードが実行される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2524:Google Project Zero の Ian Beer 氏

WindowServer

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションにシステム権限を取得される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2017-2537:Trend Micro の Zero Day Initiative に協力する Chaitin Security Research Lab (@ChaitinTech)

CVE-2017-2541:Trend Micro の Zero Day Initiative に協力する Richard Zhu 氏 (fluorescence)

CVE-2017-2548:Trend Micro の Zero Day Initiative に協力する Team Sniper (Keen Lab および PC Mgr)

WindowServer

対象 OS:macOS Sierra 10.12.4、OS X El Capitan 10.11.6、OS X Yosemite 10.10.5

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2017-2540:Trend Micro の Zero Day Initiative に協力する Richard Zhu 氏 (fluorescence)

macOS Sierra 10.12.5、セキュリティアップデート 2017-002 El Capitan、セキュリティアップデート 2017-002 Yosemite には、Safari 10.1.1 のセキュリティコンテンツが含まれています。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: