セキュリティアップデート 2010-001 について

ここでは、セキュリティアップデート 2010-001 について説明します。このアップデートは、ソフトウェア・アップデート 環境設定、または サポートダウンロード からダウンロードしてインストールできます。

お客様を保護するため、アップルは徹底的な調査を行って必要なパッチやリリースを用意できるまでは、セキュリティ上の問題を開示したり話題にしたり、正式な発表をいたしません。アップル製品のセキュリティについては アップル製品のセキュリティ Web サイトを参照してください。

Apple Product Security PGP キーについて詳しくは、「Apple Product Security PGP キーの使用方法」を参照してください。

CVE IDs でも、脆弱性に関する詳細な情報を参照できます (英語)。

セキュリティアップデートについて詳しくは、こちらの記事 を参照してください。

この記事はアーカイブ済みで、これ以上更新されることはありません。

セキュリティアップデート 2010-001

  • CoreAudio

    CVE-ID:CVE-2010-0036

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影響:悪意を持って作成された mp4 オーディオファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:mp4 オーディオファイルの処理においてバッファオーバーフローが存在します。悪意を持って作成された mp4 オーディオファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。この問題は、バウンドチェック機能を改良したことで解消されています。この問題は、trapkit.de 社の Tobias Klein 氏からご報告いただいたものです。

  • CUPS

    CVE-ID:CVE-2009-3553

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影響:リモートの攻撃者によって、突然 cupsd のアプリケーションが終了する可能性がある。

    説明:cupsd で use-after-free (解放後使用) の問題が発生します。 悪意を持って作成された get-printer-jobs (プリンタジョブの取得) 要求を発行することにより、攻撃者がサービスをリモートで拒否することがあります。これは、cupsd の終了後に自動的に再起動を行うことで軽減されます。この問題は、接続使用追跡機能を改良することで解消されています。

  • Flash Player プラグイン

    CVE-ID:CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影響:Adobe Flash Player プラグインに複数の脆弱性がある。

    説明:Adobe Flash Player プラグインにおける複数の脆弱性が原因で、もっとも深刻な場合は、悪意を持って作成された Web サイトを閲覧すると、任意のコードが実行される可能性があります。この問題は、Flash Player プラグインをバージョン 10.0.42 にアップデートすると解消されます。詳細は、Adobe の Web サイト (http://www.adobe.com/jp/support/security/bulletins/apsb09-19.html) を参照してください。この問題の報告は、TippingPoints Zero Day Initiative、Bing Liu of Fortinet's FortiGuard Global Security Research Team、Will Dormann of CERT、Manuel Caballero および Microsoft Vulnerability Research (MSVR) に所属する匿名の研究者および Damian Put 氏の功績によるものです。

  • ImageIO

    CVE-ID:CVE-2009-2285

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:ImageIO で TIFF 画像を処理すると、バッファのアンダーフローが発生する可能性があります。悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、バウンドチェック機能を改良したことで解消されています。Mac OS X v10.6 システムについては、Mac OS X v10.6.2 で問題が解決されています。

  • 画像 RAW

    CVE-ID:CVE-2010-0037

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影響:悪意を持って作成された DNG 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:DNG の Image RAW 処理においてバッファオーバーフローが存在します。悪意を持って作成された DNG 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、バウンドチェック機能を改良したことで解消されています。この問題の報告は、カーネギーメロン大学コンピューティングサービスの Jason Carr 氏の功績によるものです。

  • OpenSSL

    CVE-ID:CVE-2009-3555

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影響:特権のあるネットワークポジションを使用する攻撃者がデータをキャプチャして、SSL で保護されたセッションで行われたオペレーションを変更することがあります。

    説明:SSL および TLS プロトコルに、man-in-the-middle (中間者攻撃) の脆弱性があります。詳細は、http://www.phonefactor.com/sslgap を参照してください。再ネゴシエーションプロトコルへの変更は、現在 IETF 内で行われています。このアップデートでは、予防セキュリティ措置として OpenSSL での再ネゴシエーションを無効にします。Secure Transport はネゴシエーションをサポートしていないため、この問題による Secure Transport を使用するサービスへの影響はありません。この問題の報告は、PhoneFactor, Inc. の Steve Dispensa 氏および Marsh Ray 氏の功績によるものです。

重要:他社の Web サイトや製品に関する記述は、情報提供のみを目的としており、支持または推奨を意味するものではありません。Apple は、他社の Web サイトに掲載されている情報または製品の選択、性能、使用については、一切責任を負いません。Apple は、これらの情報を、ユーザの利便性を考慮して提供しているに過ぎません。Apple では、これらのサイトに掲載されている情報の評価を行っておらず、その正確性または信頼性についてはいかなる言及もいたしません。インターネット上のあらゆる情報または製品の使用には本来リスクが伴うものであり、この点について Apple はいかなる責任も負わないものとします。他社のサイトは Apple とは無関係であり、他社の Web サイトの内容を Apple が管理しているわけではないことをご理解ください。詳細については、「ベンダーに関する情報を見つける」を参照してください。

最終更新日: