 | iOS 9.3.3 , OS X 10.11.6 , watchOS 2.2.2 , tvOS 9.2.2 , iTunes 12.4.2 , Safari 9.1.2 が一挙リリースされました。セキュリティ対策が主な変更点です。それでは iOS と OS X に絞ってセキュリティ対策内容を見ていきましょう。 |
iOS 9.3.3
- NULL ポインタ参照問題により、悪意を持って作成されたカレンダー招待で突然デバイスが再起動させられる問題(Calendar)
- メモリ破壊の問題でリモート攻撃者が任意のコードを実行できてしまう問題(CoreGraphics)
- ユーザーインターフェースの不備でネットワークの特権的な位置にいる攻撃者が、通話終了になってるように見えて通話を送信し続けることが可能になる問題(FaceTime)
- 複数のメモリ破壊の問題でリモート攻撃者が任意のコードを実行できてしまう問題(ImageIO)
- メモリ消費量の問題でリモート攻撃者がサービス拒否を引き起こす問題(ImageIO)
- 範囲外のアドレス参照によりローカルユーザーがカーネルメモリーを読めてしまう問題(IOAcceleratorFamily)
- NULL ポインタ参照問題により、ローカルユーザがカーネル特権で任意のコードを実行できる問題(IOAcceleratorFamily , IOHIDFamily)
- 複数のメモリ破壊の問題で悪意を持って作られたアプリケーションがカーネル特権でコード実行できてしまう問題(Kernel)
- NULL ポインタ参照問題により、ローカルユーザーがサービス拒否されてしまう問題(Kernel)
- 悪意をもって細工された XML の解析問題で、ユーザー情報が漏洩する問題(libxml2)
- 複数のメモリ破壊の問題で libxml2 に複数の脆弱性が存在していた問題(libxml2)
- 複数のメモリ破壊の問題で libxslt に複数の脆弱性が存在していた問題(libxslt)
- 不正なポートへのリダイレクト応答における問題で、悪意を持って作成された Web サイトではユーザーインターフェイスが乗っ取られる問題(Safari)
- 特権 API コールに存在していた問題で、ローカルアプリケーションがプロセスリストにアクセスできてしまう問題(Sandbox Profiles)
- 連絡帳のアクセス管理の問題で、物理的にデバイスに触れる人が連絡帳を参照できてしまう問題(Siri Contacts)
- Safari ビュー制御の問題で、Safariのプライベートモードで映像表示すると、通常モードでビデオのURLが表示されてしまう問題(Web Media)
- 複数のメモリ破壊の問題で、悪意を持って作成された Web サイトで任意のコードを実行できる問題(WebKit , WebKit Page Loading)
- 複数のメモリ破壊の問題で、悪意を持って作成された Web ページの読み込みでシステムのサービス拒否を引き起こす問題(WebKit)
- SVG の処理タイミングの問題で、悪意を持って作成された Web サイトで他の Web サイトの画像が表示される問題(WebKit)
- URL 解析に存在していた問題で、悪意を持って作成された Web サイトではユーザーインターフェイスが乗っ取られる問題(WebKit)
- 位置情報アクセス権限の問題で、悪意を持って作成されたWebサイトにアクセスするとファイルシステム上のユーザー情報が漏洩する問題(WebKit)
- メモリ初期化における問題で、悪意を持って作成されたWebサイトにアクセスするとプロセスメモリが表示されてしまう問題(WebKit)
- HTTP/0.9 のクロスサイトスクリプティング問題で、悪意を持って作成されたWebサイトにアクセスすると非HTTPサービスのコンテキストでスクリプトが実行されてしまう問題(WebKit JavaScript Bindings)
- Safari URL リダイレクトのクロスサイトスクリプティング問題で、悪意を持って作成されたWebサイトは元データを盗み出すことができる問題(WebKit Page Loading)
OS X El Capitan v10.11.6
- PHP5.5.36以前のバージョンに存在していた、遠隔から攻撃者が任意のコードを実行できてしまう問題(apache_mod_php)
- メモリ破壊によりローカルユーザーがカーネル特権を使った任意のコードを実行できてしまう問題(Audio)
- 範囲外のアドレス参照によりローカルユーザーがカーネル特権を使った任意のコードを実行できてしまう問題(Audio)
- 悪意を持って作成されたオーディオファイルが範囲外のアドレス参照問題を使って、ユーザー情報を読み込めてしまう問題(Audio)
- NULL ポインタ参照問題により、ローカルユーザーがサービス拒否されてしまう問題(Audio , Kernel)
- 整数オーバーフローによってローカルの攻撃者は、予期しないアプリケーションをの終了を引き起こしたり、任意のコードが実行される問題(bsdiff)
- Web ブラウザのクッキーに依存したアクセス許可の問題により、ローカルユーザーが機密性の高いユーザー情報を表示することができる問題(CFNetwork)
- メモリ破壊によりリモートの攻撃者が任意のコードを実行できてしまう問題(CoreGraphics)
- 範囲外のアドレス参照によりローカルユーザーが特権ユーザーに昇格できてしまう問題(CoreGraphics)
- ユーザーインターフェースの不備でネットワークの特権的な位置にいる攻撃者が、通話終了になってるように見えて通話を送信し続けることが可能になる問題(FaceTime)
- メモリ破壊によりローカルユーザーがカーネル特権を使った任意のコードを実行できてしまう問題(Graphics Drivers)・メモリ消費量の問題でリモート攻撃者がサービス拒否を引き起こす問題(ImageIO)
- 複数のメモリ破壊の問題でリモート攻撃者が任意のコードを実行できてしまう問題(ImageIO)
- 複数のメモリ破壊の問題で悪意を持って作られたアプリケーションがカーネル特権でコード実行できてしまう問題(Intel Graphics Driver , Kernel)
- NULL ポインタ参照問題により、ローカルユーザがカーネル特権で任意のコードを実行できる問題(IOHIDFamily)
- 使用後の空きメモリ管理の問題で、ローカルユーザがカーネル特権で任意のコードを実行できる問題(IOSurface)
- 複数のメモリ破壊の問題でアプリケーションがroot特権でコード実行できてしまう問題(libc++abi)
- 複数のメモリ破壊の問題で悪意を持って細工されたXMLでアプリケーションが終了したり、任意のコードが実行される問題(libexpat)
- LibreSSL 2.2.7 以前に存在していた複数の問題で、リモート攻撃者が任意のコードを実行できてしまう問題(LibreSSL)
- 悪意をもって細工された XML の解析問題で、ユーザー情報が漏洩する問題(libxml2)
- 複数のメモリ破壊の問題で libxml2 に複数の脆弱性が存在していた問題(libxml2)
- 複数のメモリ破壊の問題で libxslt に複数の脆弱性が存在していた問題(libxslt)
- メモリ破壊の問題で悪意のあるアプリケーションはユーザ情報漏洩につながる任意のコードを実行できる問題(Login Window)
- データ型の混乱による問題で、悪意のあるアプリケーションはユーザ情報漏洩につながる任意のコードを実行できる問題(Login Window)
- メモリ初期化における問題で、ローカルユーザーがサービス拒否されてしまう問題(Login Window)
- データ型の混乱による問題で、悪意のあるアプリケーションは root 特権を取得できてしまう問題(Login Window)
- OpenSSL 1.0.2h/1.0.1 に存在していた複数の問題で、リモート攻撃者が任意のコードを実行できてしまう問題(OpenSSL)
- 複数のメモリ破壊の問題で、悪意を持って作成されたFlashPixのビットマップ画像を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される問題(QuickTime)
- メモリ破壊の問題で悪意を持って細工された画像処理で任意のコードが実行される問題(QuickTime)
- メモリ破壊の問題で悪意を持って細工されたSGI処理で任意のコードが実行される問題(QuickTime)
- メモリ破壊の問題で、悪意を持って作成された Photoshop ドキュメントを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される問題(QuickTime)
- Safari のパスワード自動入力処理に存在した問題によって、ユーザーのパスワードが見えてしまう問題(Safari Login AutoFill)
- 特権 API コールに存在していた問題で、ローカルアプリケーションがプロセスリストにアクセスできてしまう問題(Sandbox Profiles)
RSSフィード
