セキュリティアップデート 2010-005 について

この記事では、「セキュリティアップデート 2010-005」について説明します。このセキュリティアップデートはシステム環境設定の「ソフトウェア・アップデート」パネルか サポートダウンロード からダウンロードしてインストールできます。

お客様を保護するため、アップルは徹底的な調査を行って必要なパッチやリリースを用意できるまでは、セキュリティ上の問題を開示したり話題にしたり、正式な発表をいたしません。アップル製品のセキュリティについては「アップル製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

可能な場合は CVE ID を使って脆弱性を詳しく調査できます。

その他のセキュリティアップデートについては アップルセキュリティアップデート を参照してください。

この記事はアーカイブ済みで、これ以上更新されることはありません。

セキュリティアップデート 2010-005

  • ATS

    CVE-ID:CVE-2010-1808

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。

    説明:Apple Type Services による埋め込みフォントの処理時、スタックバッファがオーバーフローする場合があります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。この問題は、バウンドチェック機能を改善することで解決されています。

  • CFNetwork

    CVE-ID:CVE-2010-1800

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:特権のあるネットワークポジションを使用する攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合がある。

    説明:CFNetwork は匿名のTLS/SSL 接続を許可します。これにより、中間者攻撃を行う者が接続をリダイレクトして、ユーザの資格情報またはその他の機密情報を攻撃することができます。この問題は、Mail アプリケーションには影響ありません。この問題は、匿名の TLS/SSL 接続を無効にすることで解決されています。この問題は、Mac OS X v10.6.3 以前のシステムでは発生しません。この問題の報告は、vtty.com の Aaron Sigel 氏、Citrix の Jean-Luc Giraud 氏、Sirius IT の Tomas Bjurman 氏、および Google, Inc. の Wan-Teh Chang 氏の功績によるものです。

  • ClamAV

    CVE-ID:CVE-2010-0098、CVE-2010-1311

    対象となるバージョン:Mac OS X Server v10.5.8、Mac OS X Server v10.6.4

    影響:ClamAV に複数の脆弱性がある。

    説明:ClamAV に複数の脆弱性があります。これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、ClamAV 0.96.1 にアップデートすることで、問題が解決されています。ClamAV は Mac OS X Server システムにのみ提供されています。詳しくは、ClamAV Web サイト http://www.clamav.net/ から入手できます。

  • CoreGraphics

    CVE-ID:CVE-2010-1801

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:CoreGraphics での PDF ファイルの処理で、ヒープバッファがオーバーフローする可能性があります。悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される場合があります。この問題は、バウンドチェック機能を改善することで解決されています。この問題の報告は、Check Point Vulnerability Discovery Team (VDT) の Rodrigo Rubira Branco 氏の功績によるものです。

  • libsecurity

    CVE-ID:CVE-2010-1802

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:実在するドメイン名と最後の 1 文字だけが異なるドメイン名を持つ、特権のあるネットワークポジションを使用する攻撃者が、その実在するドメインのホストになりすます場合がある。

    説明:認証書のホスト名の処理に問題があります。3 つ以上のコンポーネントを含むホスト名の場合、最後の文字が正しく比較されません。正確に 3 つのコンポーネントを含む名前の場合、最後の 1 文字だけがチェックされません。たとえば、特権のあるネットワークポジションを使用する攻撃者が、www.example.com の証明書を入手して、www.example.com になりすます可能性があります。この問題は、証明書のホスト名の処理を改良することにより解決されています。この問題の報告は、Peter Speck 氏の功績によるものです。

  • PHP

    CVE-ID:CVE-2010-1205

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:悪意を持って作成された PNG 画像を読み込むと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:PHP の libpng ライブラリでバッファのオーバーフローが発生します。悪意を持って作成された PNG 画像を読み込むと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。この問題は、PHP 内の libpng をバージョン 1.4.3 にアップデートすることで解決されています。この問題は、Mac OS X v10.6 以前のシステムでは発生しません。

  • PHP

    CVE-ID:CVE-2010-1129、CVE-2010-0397、CVE-2010-2225、CVE-2010-2531、CVE-2010-2484

    対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:PHP 5.3.1 に複数の脆弱性がある。

    説明:PHP は複数の脆弱性に対処するためにバージョン 5.3.2 にアップデートされています。それらの脆弱性に起因するもっとも深刻な問題として、任意のコードが実行される可能性があります。詳しくは、PHP の Web サイト (http://www.php.net/) を参照してください。

  • Samba

    CVE-ID:CVE-2010-2063

    対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影響:認証されていないリモート攻撃者によって、サービスが拒否されたり、任意のコードが実行されたりする可能性がある。

    説明:Samba でバッファーのオーバーフローが発生します。認証されていないリモート攻撃者によって、悪意を持って作成されたパケットが送信されると、サービスが拒否されたり、任意のコードが実行されたりする可能性があります。この問題は、Samba のパケットの追加検証を行うことで解決されています。

重要:他社の Web サイトや製品に関する記述は、情報提供のみを目的としており、支持または推奨を意味するものではありません。Apple は、他社の Web サイトに掲載されている情報または製品の選択、性能、使用については、一切責任を負いません。Apple は、これらの情報を、ユーザの利便性を考慮して提供しているに過ぎません。Apple では、これらのサイトに掲載されている情報の評価を行っておらず、その正確性または信頼性についてはいかなる言及もいたしません。インターネット上のあらゆる情報または製品の使用には本来リスクが伴うものであり、この点について Apple はいかなる責任も負わないものとします。他社のサイトは Apple とは無関係であり、他社の Web サイトの内容を Apple が管理しているわけではないことをご理解ください。詳細については、「ベンダーに関する情報を見つける」を参照してください。

公開日: