この記事はアーカイブ済みで、これ以上更新されることはありません。

Safari 5.0.1 および Safari 4.1.1 のセキュリティコンテンツについて

Safari 5.0.1 および Safari 4.1.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらの記事を参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Safari 5.0.1 および Safari 4.1.1

  • Safari

    • CVE-ID:CVE-2010-1778

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された RSS フィードにアクセスすると、ファイルがユーザのシステムからリモートサーバに送信される可能性がある。

    • 説明:Safari による RSS フィードの処理時にクロスサイトスクリプティングの問題が発生する可能性があります。悪意を持って作成された RSS フィードにアクセスすると、ユーザのシステムのファイルがリモートサーバに送信される可能性があります。この問題は、RSS フィードの処理を改善したことで解消されています。この問題の報告は、Google Security Team の Billy Rios 氏の功績によるものです。

  • Safari

    • CVE-ID:CVE-2010-1796

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:Safari の自動入力機能により、ユーザの操作なしに情報が Web サイトに開示される可能性がある。

    • 説明:Safari の自動入力機能により、Mac OS X のアドレスブック、Outlook または Windows のアドレス帳の指定の情報が Web フォームに自動的に記入されてしまうことがあります。設計上、Web フォーム内で自動入力機能を実行するには、ユーザによる操作が必要ですが、実装に問題があるために、悪意を持って作成された Web サイトで、ユーザによる操作なしに自動入力機能が実行され、ユーザのアドレスブックカードに保存されている情報が開示される可能性があります。この問題は、(1) Safari の環境設定の「自動入力」で「自分のアドレスブックカードの情報を使用」チェックボックスが選択されており、(2) ユーザのアドレスブックに「マイカード」と指定されているカードがある場合に発生します。自動入力機能がアクセスするのは、この特定のカードに保存されている情報のみです。この問題は、ユーザの操作なしに自動入力機能が情報を使用できないようにすることで解消されています。この問題は iOS を搭載したデバイスでは発生しません。この問題の報告は WhiteHat Security の Jeremiah Grossman 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1780

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:use-after-free (解放後使用) の問題が、WebKit による要素フォーカスの処理時に発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、要素フォーカスの処理方法を改良したことで解消されています。この問題の報告は Google, Inc. の Tony Chang 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1782

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit によるインライン要素のレンダリング時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。この問題の報告は team509 の wushi 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1783

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit によるテキストノードへの動的変更の処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題はメモリ管理を改善することで解決されています。

  • WebKit

    • CVE-ID:CVE-2010-1784

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による CSS カウンタの処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題はメモリ管理を改善することで解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1785

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による SVG のテキスト要素の :first-letter および :first-line 疑似要素の処理時に、初期化されないメモリアクセスの問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、SVG テキスト要素の :first-letter または first-line 疑似要素をレンダリングしないことによって解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1786

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:use-after-free (解放後使用) の問題が、WebKit による SGV ドキュメントの foreignObject 要素の処理時に発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、SVG ドキュメントの検証を強化したことで解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1787

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による SVG ドキュメントのフロート要素の処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題はメモリ管理を改善することで解決されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1788

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による SVG ドキュメントの「use」要素の処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、SVG ドキュメントの「use」要素の処理を改善したことで解消されています。この問題の報告は Google, Inc. の Justin Schuh 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1789

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による JavaScript の string オブジェクトの処理時に、ヒープバッファオーバーフローが発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、配列境界チェック機能を改良したことで解消されています。功績:Apple

  • WebKit

    • CVE-ID:CVE-2010-1790

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による just in time コンパイルを実行した JavaScript スタブの処理時に、リエントラント問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、同期を改善したことで解消されています。

  • WebKit

    • CVE-ID:CVE-2010-1791

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による JavaScript アレイの処理時に、符号の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、JavaScript アレイのインデックス処理を改善したことで解消されています。この問題の報告は Natalie Silvanovich 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1792

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:WebKit による正規表現の処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、正規表現の処理を改善したことで解消されています。この問題の報告はセゲド大学の Peter Varga 氏の功績によるものです。

  • WebKit

    • CVE-ID:CVE-2010-1793

    • 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

    • 影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    • 説明:use-after-free (解放後使用) の問題が、WebKit による SVG ドキュメントの「font-face」および「use」要素の処理時に発生する可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、SVG ドキュメントの「font-face」および「use」要素の処理を改善したことで解消されています。この問題の報告は OUSPG の Aki Helin 氏の功績によるものです。

重要:他社の Web サイトや製品に関する情報は、情報提供の目的でのみ記載されているものであり、これを支持または推奨するものではありません。Apple は、他社の Web サイトに掲載されている情報や製品の選択、性能、使用については一切責任を負いません。Apple は、お客様の便宜目的にのみ、これらの情報を提供するものであり、他社の Web サイトに掲載されている情報については審査しておらず、その正確性や信頼性については一切保証しておりません。インターネット上のあらゆる情報や製品の使用には本来リスクが伴うものであり、この点に関して Apple はいかなる責任も負いません。他社のサイトはそれぞれ独自に運営されており、Apple が他社の Web サイトの内容を管理しているわけではないことをご理解ください。詳しくは、各社にお問い合わせください。

公開日: