Mac OS X 10.4.7 アップデートのセキュリティコンテンツについて

この記事では Mac OS X 10.4.7 アップデートのセキュリティコンテンツについて説明します。このセキュリティコンテンツは、システム環境設定の「ソフトウェアアップデート」パネル、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらをご覧ください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Mac OS X v10.4.7 アップデート

  • AFP

    CVE-ID:CVE-2006-1468

    対象:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:権限のないユーザにファイル名やフォルダ名が開示される可能性がある。

    説明:AFP サーバの脆弱性が原因で、検索を実行しているユーザにアクセス権がないファイルやフォルダの名前が検索結果に表示されます。名前自体に重要な情報が含まれている場合、これによって情報が開示されてしまいます。このアップデートでは、ユーザに権限が与えられている項目のみが検索結果に表示されるようにすることで問題が解消されています。この問題は、Mac OS X v10.4 より前のシステムでは発生しません。

  • ClamAV

    CVE-ID:CVE-2006-1989

    対象:Mac OS X Server v10.4.6

    影響:ウイルススキャンが自動アップデートされるよう設定されている場合、悪意のあるデータベースミラーによって任意のコードが実行される可能性がある。

    説明:ClamAV のウイルスデータベースの自動アップデートの脆弱性が原因で、スタックベースのバッファがオーバーフローし、悪意のある ClamAV または正規の ClamAV のように見せかけた偽装 ClamAV のデータベースミラーによって、ClamAV の権限で任意のコードが実行される可能性があります。メールサービス、ウイルススキャン、およびウイルスデータベースの自動アップデートは、デフォルトでオフになっています。このアップデートでは、ClamAV 0.88.2 を採用することで問題が解消されています。この問題は Mac OS X v10.4 より前のシステムでは発生しません。

  • ImageIO

    CVE-ID:CVE-2006-1469

    対象:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

    説明:攻撃者が破損した TIFF 画像を巧妙に作成し、スタックベースのバッファをオーバーフローさせることで、アプリケーションをクラッシュさせたり、任意のコードを実行したりする可能性があります。このアップデートでは、TIFF 画像の検証を強化することで問題が解消されています。この問題は、Mac OS X v10.4 より前のシステムでは発生しません。

  • launchd

    CVE-ID:CVE-2006-1471

    対象:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:ローカルユーザが昇格した権限を取得する可能性がある。

    説明:setuid プログラムの launchd の書式文字列の脆弱性が原因で、認証済みのローカルユーザがシステム権限で任意のコードを実行できる可能性があります。この問題は、launchd の logging facility で生じます。このアップデートでは、ロギングメッセージが表示されたときの検証を強化することで問題が解消されています。この問題は、Mac OS X v10.4 より前のシステムでは発生しません。この問題の報告は、DigitalMunition の Kevin Finisterre 氏の功績によるものです。

  • OpenLDAP

    CVE-ID:CVE-2006-1470

    対象:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:リモート攻撃者が Open Directory サーバをクラッシュさせる可能性がある。

    説明:リモート攻撃者が無効な LDAP リクエストを巧妙に作成し、OpenLDAP サーバでアサーションを誘発することで、サービス運用を妨害する可能性があります。このアップデートでは、無効なリクエストを破棄することで問題が解消されています。この問題は、Mac OS X v10.4 より前のシステムでは発生しません。この問題の報告は Mu Security のリサーチチームの功績によるものです。

公開日: