iOS 7 のセキュリティコンテンツについて
iOS 7 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらの記事を参照してください。
Apple Product Security PGP キーについてはこちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
iOS 7
証明書信頼ポリシー
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:ルート証明書がアップデートされた。
説明:複数の証明書が、システムルートのリストに追加されたり、リストから削除されたりしました。
CoreGraphics
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。
説明:PDF ファイルの JBIG2 エンコードデータの処理にバッファオーバーフローの問題があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1025:Google Security Team の Felix Groebert 氏
CoreMedia
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成されたムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。
説明:Sorenson エンコードのムービーファイルの処理にバッファオーバーフローの問題があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1019:HP の Zero Day Initiative に協力している Microsoft の Tom Gallagher 氏および Microsoft の Paul Bates 氏
Data Protection
CVE-2013-0957:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏
Impact: Apps could bypass passcode-attempt restrictions
Description: A privilege separation issue existed in Data Protection. An app within the third-party sandbox could repeatedly attempt to determine the user's passcode regardless of the user's "Erase Data" setting. This issue was addressed by requiring additional entitlement checks.
CVE-ID
CVE-2013-0957 : Jin Han of the Institute for Infocomm Research working with Qiang Yan and Su Mon Kywe of Singapore Management University
Data Security
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:特権のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合がある。
説明:TrustWave (信頼されたルート CA) は、信頼されたアンカーの 1 つからサブ CA 証明書を発行した後、それを取り消しました。このサブ CA が原因で、Transport Layer Security (TLS) によってセキュリティ保護された通信の傍受が容易になっていました。このアップデートで、関与しているサブ CA 証明書が、OS X における信頼されない証明書リストに追加されました。
CVE-ID
CVE-2013-5134
dyld
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:攻撃者がデバイス上で任意のコードを実行することで、再起動中にコードが永続的に実行される。
説明:dyld の openSharedCacheFile() 関数を実行すると、複数の原因により、バッファオーバーフローが起こる場合があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-3950:Stefan Esser 氏
File Systems
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:HFS 以外のファイルシステムをマウントできる攻撃者が、カーネル権限を使って、システムを突然終了させたり、任意のコードを実行したりする場合がある。
説明:AppleDouble ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、AppleDouble ファイルのサポートを削除することで解消されました。
CVE-ID
CVE-2013-3955:Stefan Esser 氏
ImageIO
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された PDF ファイルを開くと、アプリケーションが突然終了したり任意のコードが実行されたりする可能性がある。
説明:PDF ファイルの JPEG2000 エンコードデータの処理にバッファオーバーフローの問題があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1026:Google Security Team の Felix Groebert 氏
IOKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:バックグラウンドアプリケーションにより、フォアグラウンドの App にユーザインターフェイスイベントが挿入される場合がある。
説明:バックグラウンドで実行しているアプリケーションが、task completion API または VoIP API を使って、フォアグラウンドのアプリケーションにユーザインターフェイスのイベントを挿入できる可能性がありました。この問題は、インターフェイスイベントを処理するバックグラウンド/フォアグラウンドプロセスのアクセス制御を強化することで解消されました。
CVE-ID
CVE-2013-5137:Mobile Labs の Mackenzie Straight 氏
IOKitUser
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のあるローカルアプリケーションが原因で、システムが突然終了する場合がある。
説明:IOCatalogue に、ヌルポインタ逆参照の脆弱性が存在します。この問題は、型チェックを強化することで解消されました。
CVE-ID
CVE-2013-5138:Will Estes 氏
IOSerialFamily
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のあるアプリケーションを実行すると、カーネル内で任意のコードが実行される場合がある。
説明:IOSerialFamily ドライバで、配列の境界を越えたアクセスが発生する場合があります。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-5139:@dent1zt 氏
IPSec
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:攻撃者が IPSec Hybrid Auth で保護されたデータを攻撃できる可能性がある。
説明:IPSec Hybrid Auth サーバの DNS 名が証明書と一致しないため、任意のサーバの証明書を持つ攻撃者がほかのサーバの証明書を持っているように装うことができました。この問題は、証明書のチェックを強化することで解消されました。
CVE-ID
CVE-2013-1028:www.traud.de の Alexander Traud 氏
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:リモートの攻撃者によってデバイスが突然再起動される可能性がある。
説明:断片化された不正なパケットがデバイスに送信されると、カーネルによってトリガがアサートされ、デバイスが再起動する場合があります。この問題は、断片化されたパッケージの検証を強化することで解消されました。
CVE-ID
CVE-2013-5140:Codenomicon の Joonas Kuorilehto 氏、CERT-FI と協力する匿名の研究者、Vulnerability Analysis Group、Stonesoft の Antti Levomäki 氏および Lauri Virtanen 氏
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のあるローカルアプリケーションによって、デバイスがハングする場合がある。
説明:カーネルソケットインターフェイスの整数切り捨てに関する脆弱性が原因で、CPU で無限ループが発生する可能性があります。この問題は、大きなサイズの変数を使用することで解消されました。
CVE-ID
CVE-2013-5141:CESG
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:ローカルネットワーク上の攻撃者によって、サービス拒否が引き起こされる可能性がある。
説明:ローカルネットワーク上の攻撃者によって意図的に作成された IPv6 ICMP パケットが送信されると、CPU 負荷が高まる場合があります。この問題は、ICMP パケットのチェックサムを検証する前にレートを制限することで解消されました。
CVE-ID
CVE-2011-2391:Marc Heuse 氏
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:カーネルスタックメモリがローカルユーザに開示される可能性がある。
説明:msgctl API と segctl API に情報漏洩の脆弱性が存在します。この問題は、カーネルから返されたデータ構造を初期化することで解消されました。
CVE-ID
CVE-2013-5142:Kenx Technology, Inc の Kenzley Alphonse 氏
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:権限のないプロセスがカーネルメモリのコンテンツにアクセスし、権限昇格を引き起こす可能性がある。
説明:mach_port_space_info API に情報漏洩の問題が存在します。この問題はカーネルから返された構造の iin_collision フィールドを初期化することで解消されました。
CVE-ID
CVE-2013-3953:Stefan Esser 氏
Kernel
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:権限のないプロセスによって、システムが突然終了したり、カーネル内で任意のコードが実行されたりする可能性がある。
説明:posix_spawn API への引数の処理に、メモリ破損に関する問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-3954:Stefan Esser 氏
Kext Management
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:読み込んだカーネル拡張機能が、不正なプロセスによって変更される可能性がある。
説明:kextd に、未認証の送信者からの IPC メッセージの処理の問題がありました。この問題は、権限チェックを強化することで解消されました。
CVE-ID
CVE-2013-5145:"Rainbow PRISM" 氏
libxml
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web ページを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libxml に複数のメモリ破損の問題があります。この問題は libxml をバージョン 2.9.0 にアップデートすることで解消されました。
CVE-ID
CVE-2011-3102:Jüri Aedla 氏
CVE-2012-0841
CVE-2012-2807:Jüri Aedla 氏
CVE-2012-5134:Google Chrome Security Team (Jüri Aedla 氏)
libxslt
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web ページを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:libxslt に複数のメモリ破損の問題があります。この問題は libxslt をバージョン 1.1.28 にアップデートすることで解消されました。
CVE-ID
CVE-2012-2825:Nicolas Gregoire 氏
CVE-2012-2870:Nicolas Gregoire 氏
CVE-2012-2871:Fortinet の FortiGuard Labs の Kai Lu 氏、Nicolas Gregoire 氏
Passcode Lock
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:デバイスに物理的にアクセスできる人物に対し、画面のロックが機能しない可能性がある。
説明:ロック画面での電話処理と SIM カードの取り出し処理に、競合状態 (race condition) の脆弱性が存在します。この問題はロックのステータス管理を改善したことで解消されました。
CVE-ID
CVE-2013-5147:videosdebarraquito 氏
Personal Hotspot
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:攻撃者がインターネット共有ネットワークにアクセスできる可能性がある。
説明:インターネット共有のパスワードの生成に脆弱性が存在し、攻撃者がパスワードを推測してユーザのインターネット共有にアクセスできる可能性があります。この問題は、パスワードのエントロピーを強化することで解消されました。
CVE-ID
CVE-2013-4616:NESO Security Labs の Andreas Kurtz 氏、およびフリードリヒ・アレクサンダー大学エアランゲン=ニュルンベルクの Daniel Metz 氏
Push Notification
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:ユーザの判断に反して、プッシュ通知のトークンが App に開示される場合がある。
説明:プッシュ通知の登録に、情報漏洩の脆弱性が存在します。プッシュ通知へのアクセスを要求した App に対し、ユーザがプッシュ通知の利用を許可する前に、トークンが送信される可能性があります。この問題は、ユーザによってアクセスが許可されるまで、トークンへのアクセスを保留することで解消されました。
CVE-ID
CVE-2013-5149:Grouper, Inc. の Jack Flintermann 氏
Safari
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:XML ファイルの処理に、メモリ破損に関する問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2013-1036:FortiGuard Labs の Kai Lu 氏
Safari
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:開いているタブで最近閲覧したページの履歴が、履歴をクリアしても残る。
説明:Safari の履歴をクリアしても、開いているタブの「戻る」と「進む」の履歴がクリアされない場合があります。この問題は「戻る」と「進む」の履歴をクリアすることで解消されました。
CVE-ID
CVE-2013-5150
Safari
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:サーバから「Content-Type: text/plain」ヘッダが送信されているにもかかわらず、Web サイトでファイルを閲覧するとスクリプトが実行される場合がある。
説明:Mobile Safari で、サーバから「Content-Type: text/plain」ヘッダが送信されているときでも、ファイルが HTML ファイルとして処理される場合があります。これによって、ユーザがファイルをアップロードできるサイトで、クロスサイトスクリプティングが発生する可能性があります。この問題は「Content-Type: text/plain」が設定されているファイルの処理を強化することで解消されました。
CVE-ID
CVE-2013-5151:Github の Ben Toews 氏
Safari
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、任意の URL が表示される場合がある。
説明:Mobile Safari に、URL バーのなりすましの脆弱性が存在します。この問題は、URL 追跡機能を強化することで解消されました。
CVE-ID
CVE-2013-5152:keitahaga.com の Keita Haga 氏、RBS の Łukasz Pilorz 氏
Sandbox
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:スクリプトのアプリケーションがサンドボックス化されない。
説明:#! 構文を使ってスクリプトを実行する他社製アプリケーションが、スクリプト自体ではなくスクリプトインタープリタの ID に基づいてサンドボックス化される場合があります。インタープリタでサンドボックスが定義されていない場合、アプリケーションがサンドボックス化されずに実行される可能性があります。この問題は、スクリプトの ID に基づいてサンドボックスを作成することで解消されました。
CVE-ID
CVE-2013-5154:evad3rs 氏
Sandbox
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:アプリケーションが原因でシステムがハングする可能性がある。
説明:悪意のある他社製アプリケーションによって、/dev/random デバイスに特殊な値が書き込まれ、CPU で無限ループが発生する可能性があります。この問題は、他社製アプリケーションによる /dev/random への書き込みを禁止することで解消されました。
CVE-ID
CVE-2013-5155:CESG
Social
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:パスコードが設定されていないデバイスに、ユーザが Twitter で最近行った操作が開示される場合がある。
説明:ユーザが最近やり取りした Twitter アカウントを特定される脆弱性があります。この問題は、Twitter アイコンキャッシュへのアクセスを制限することで解消されました。
CVE-ID
CVE-2013-5158:Jonathan Zdziarski 氏
Springboard
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:紛失モードのデバイスに物理的にアクセスできる人物が、通知を表示できる可能性がある。
説明:デバイスが紛失モードのときの通知処理に脆弱性が存在します。このアップデートでは、ロック状態の管理を強化することで問題が解消しています。
CVE-ID
CVE-2013-5153:Daniel Stangroom 氏
Telephony
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のある App が電話通信機能に干渉したり、コントロールしたりする可能性がある。
説明:電話通信サブシステムのアクセス制御に脆弱性が存在します。サンドボックス内の App が、サポートされる API を回避し、システムデーモンに直接要求することで、電話通信機能に干渉したりコントロールしたりする可能性があります。この問題は、電話通信機能のデーモンによって公開されるインターフェイスのアクセス制御を強化することで解消されました。
CVE-ID
CVE-2013-5156:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏、ジョージア工科大学の Tielei Wang 氏、Kangjie Lu 氏、Long Lu 氏、Simon Chung 氏、Wenke Lee 氏
Twitter
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:ユーザによる操作や許可なしに、サンドボックス内の App が Twitter に投稿する可能性がある。
説明:Twitter サブシステムのアクセス制御に脆弱性が存在します。サンドボックス内の App が、サポートされる API を回避し、システムデーモンに直接要求することで、Twitter 機能に干渉したりコントロールしたりする可能性があります。この問題は、Twitter のデーモンによって公開されるインターフェイスのアクセス制御を強化することで解消されました。
CVE-ID
CVE-2013-5157:シンガポールマネージメント大学の Qiang Yan 氏および Su Mon Kywe 氏と協力する Institute for Infocomm Research の Jin Han 氏、ジョージア工科大学の Tielei Wang 氏、Kangjie Lu 氏、Long Lu 氏、Simon Chung 氏、Wenke Lee 氏
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:WebKit にメモリ破損の脆弱性が複数存在します。これらの問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2013-0879:OUSPG の Atte Kettunen 氏
CVE-2013-0991:Chromium development community の Jay Civelli 氏
CVE-2013-0992:Google Chrome Security Team (Martin Barbella 氏)
CVE-2013-0993:Google Chrome Security Team (Inferno 氏)
CVE-2013-0994:Google の David German 氏
CVE-2013-0995:Google Chrome Security Team (Inferno 氏)
CVE-2013-0996:Google Chrome Security Team (Inferno 氏)
CVE-2013-0997:HP 社の Zero Day Initiative に協力する Vitaliy Toropov 氏
CVE-2013-0998:HP 社の Zero Day Initiative に協力する pa_kt 氏
CVE-2013-0999:HP 社の Zero Day Initiative に協力する pa_kt 氏
CVE-2013-1000:Google Security Team の Fermin J. Serna 氏
CVE-2013-1001:Ryan Humenick 氏
CVE-2013-1002:Sergey Glazunov 氏
CVE-2013-1003:Google Chrome Security Team (Inferno 氏)
CVE-2013-1004:Google Chrome Security Team (Martin Barbella 氏)
CVE-2013-1005:Google Chrome Security Team (Martin Barbella 氏)
CVE-2013-1006:Google Chrome Security Team (Martin Barbella 氏)
CVE-2013-1007:Google Chrome Security Team (Inferno 氏)
CVE-2013-1008:Sergey Glazunov 氏
CVE-2013-1010:miaubiz 氏
CVE-2013-1037:Google Chrome Security Team
CVE-2013-1038:Google Chrome Security Team
CVE-2013-1039:iDefense VCP と協力する own-hero Research 氏
CVE-2013-1040:Google Chrome Security Team
CVE-2013-1041:Google Chrome Security Team
CVE-2013-1042:Google Chrome Security Team
CVE-2013-1043:Google Chrome Security Team
CVE-2013-1044:Apple
CVE-2013-1045:Google Chrome Security Team
CVE-2013-1046:Google Chrome Security Team
CVE-2013-1047:miaubiz 氏
CVE-2013-2842:Cyril Cattiaux 氏
CVE-2013-5125:Google Chrome Security Team
CVE-2013-5126:Apple
CVE-2013-5127:Google Chrome Security Team
CVE-2013-5128:Apple
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、情報が漏洩する可能性がある。
説明:window.webkitRequestAnimationFrame() API の処理に、情報漏洩の脆弱性が存在します。悪意を持って作成された Web サイトが iframe を使って、別のサイトで window.webkitRequestAnimationFrame() が使用されているかどうか特定できる可能性があります。この問題は window.webkitRequestAnimationFrame() の処理を改善することで解消されました。
CVE-ID
CVE-2013-5159
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成されたHTML スニペットをコピー&ペーストすると、クロスサイトスクリプティング攻撃を受ける可能性がある。
説明:HTML ドキュメント内でコピー&ペーストされたデータの処理に、クロスサイトスクリプティングの問題が存在します。この問題は、ペーストされたコンテンツの検証を強化することで解決されました。
CVE-ID
CVE-2013-0926:xys3c (xysec.com) の Aditya Gupta 氏、Subho Halder 氏、および Dev Kar 氏
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。
説明:iFrames の処理にクロスサイトスクリプティングの問題があります。この問題は、オリジンの追跡機能を改良することで解決されました。
CVE-ID
CVE-2013-1012:Facebook の Subodh Iyengar 氏および Erling Ellingsen 氏
WebKit
対象となるデバイス:iPhone 3GS 以降、iPod touch (第 4 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、情報が漏洩する可能性がある。
説明:XSSAuditor に情報漏洩の脆弱性が存在します。この問題は、URL の処理を改善することで解消されました。
CVE-ID
CVE-2013-2848:Egor Homakov 氏
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:選択内容をドラッグまたはペーストすると、クロスサイトスクリプティング攻撃を引き起こす可能性がある。
説明:あるサイトから別のサイトへ選択内容をドラッグしてペーストすると、その選択内容に含まれていたスクリプトが、別のサイトのコンテキスト内で実行できてしまう可能性があります。この問題は、ペーストまたはドラッグ&ドロップ操作の前に、コンテンツの検証を追加したことで解消されています。
CVE-ID
CVE-2013-5129:Mario Heiderich 氏
WebKit
対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。
説明:URL の処理に、クロスサイトスクリプティングの脆弱性が存在します。この問題は、オリジンの追跡機能を改良することで解決されました。
CVE-ID
CVE-2013-5131:Erling A Ellingsen 氏
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。