Apple の Web サーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その功績を称えるため、Apple ではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。
Apple Product Security チームによって作成された書類は Apple PGP キーで署名されています。実際に Apple のスタッフによって書かれ、かつ、その内容が変更されていないことを確認するために、この署名を確認されるようおすすめいたします。 Security-Announce メーリングリストに登録されている方へ: メールプログラムによってはメッセージに変更が加えられ、その結果、PGP 署名が 不正 だとみなされる場合があります。重要な情報は Web サイト にも PGP 署名を添えて投稿されるので、真偽の確認にお役立てください。...
2 つ目の Web サイト を追加した後に、デフォルトの Web サイト が読み込めなくなる場合があります。Wiki など、Web ベースのサービスやプロファイルマネージャにも、 アクセス できなくなる場合があります。...
アップルIDの保護の方法を教えてください。
先ほど、知らないデバイスからiCloudストレージの購入があったと通知が有りました。 パスワードを至急変えたいのですが、変更することができません。 以下の画面になりますが、PCにもiPhoneにも通知自体が何も届きません。どうすればいいでしょうか? デバイスに表示されている通知をお探しください。 操作手順を説明する通知を、iCloudにサインインしているすべてのデバイスに送信しました。パスワードのリセットを完了するには、これらのデバイスのいずれかをご利用ください。...
誤って、ナビタイムのプレミアム会員に登録して しまい ました。キャンセル方法を教えてください。
2024 年 2 月 16 日に追加 Bluetooth 対象 OS:macOS Sonoma 影響:アプリが Bluetooth に 不正 アクセス できる可能性がある。 説明:制限を強化し、 アクセス 権の問題に対処しました。 CVE-2023-42945 2024 年 2 月 16 日に追加 Contacts 対象 OS:macOS Sonoma 影響:アプリが機微なユーザデータに アクセス できる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-41072:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) CVE-2023-42857:Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab) CoreAnimation 対象 OS:macOS Sonoma 影響:アプリからサービス運用妨害を受ける可能性...
2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:チェックを強化し、 不正 な処理を防止することで、この問題に対処しました。 CVE-2022-42860:Trend Micro の Mickey Jin 氏 (@patch1t) 2023 年 3 月 16 日に追加 Calendar 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明: アクセス 制限を改善し、 アクセス 関連の脆弱性に対処しました。 CVE-2022-42819:匿名...
影響:アプリが機微なユーザデータに アクセス できる可能性がある。 説明:この問題は、追加のエンタイトルメントを削除することで解決されました。 CVE-2024-23260:Joshua Jewett 氏 (@JoshJewett33) UIKit 対象 OS:macOS Sonoma 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-23246:Deutsche Telekom Security GmbH (Bundesamt für Sicherheit in der Informationstechnik 出資) WebKit 対象 OS:macOS Sonoma 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 WebKit Bugzilla:259694 CVE-2024-23226:Pwn2car WebKit 対象 OS:macOS Sonoma 影響:悪意のある Web サイト に、オーディオ...
した攻撃者が、キーボードを偽装してキーストロークインジェクション攻撃をしかけることができる。 説明:チェックを強化することで、この問題に対処しました。 CVE-2024-23277:SkySafe の Marc Newlin 氏 2024 年 3 月 7 日に追加 CoreBluetooth - LE 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:ユーザの許可がなくても、Bluetooth で接続されたマイクにアプリが アクセス できる可能性がある。 説明: アクセス 制限を改善し、 アクセス 関連の脆弱性に対処しました。 CVE-2024-23250:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) 2024 年 3 月 7 日に追加 ExtensionKit 対象:iPhone XS 以降...
2024 年 3 月 7 日リリース Accessibility 対象:Apple Watch Series 4 以降 影響:悪意のあるアプリが、アクセシビリティの通知に関連するログエントリでユーザデータを観察できる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2024-23291 AppleMobileFileIntegrity 対象:Apple Watch Series 4 以降 影響:アプリが権限を昇格させることが可能な場合がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-23288:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、Kirin 氏 (@Pwnrin) CoreBluetooth - LE 対象:Apple Watch Series 4 以降 影響:ユーザの許可がなくても、Bluetooth で接続されたマイクにアプリが アクセス できる可能性がある。 説明: アクセス 制限を改善し、 アクセス ...
2023 年 9 月 26 日リリース AirMac 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:機微情報の墨消しを改善することで、 アクセス 権の問題に対処しました。 CVE-2023-40384:Adam M. 氏 AMD 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 CVE-2023-32377:ABC...
2024 年 1 月 22 日リリース Apple Neural Engine 対象 OS:macOS Sonoma 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23212:Baidu Security の Ye Zhang 氏 CoreCrypto 対象 OS:macOS Sonoma 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。 CVE-2024-23218:Clemens Lang 氏 Finder 対象 OS:macOS Sonoma 影響:アプリが機微なユーザデータに アクセス できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2024-23224:Brian McNulty 氏 Kernel 対象 OS:macOS Sonoma 影響:アプリがカーネル権限で任意...
を改善し、 アクセス 関連の脆弱性に対処しました。 WebKit Bugzilla:262699 CVE-2024-23206:匿名の研究者 WebKit 対象:Apple Watch Series 4 以降 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 WebKit Bugzilla:266619 CVE-2024-23213:Zhongfu info の Wangtaiyu 氏 WebKit 対象:Apple Watch Series 4 以降 影響:悪意のある Web サイト が、予期しないクロスオリジンの動作を引き起こす可能性がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 WebKit Bugzilla:265812 CVE-2024-23271:James Lee 氏 (@Windowsrcer) 2024 年 4 月 24 日に追加...
5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。 CVE-2024-23218:Clemens Lang 氏 Kernel 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23208:QI-ANXIN Group の Legendsec の TIANGONG Team の fmyy 氏 (@binary_fmyy) および lime 氏 libxpc 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5...
すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23247:Qi'anxin Group の Legendsec の TianGong Team の m4yfly 氏 CoreCrypto 対象 OS:macOS Ventura 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。 CVE-2024-23218:Clemens Lang 氏 Find My 対象 OS:macOS Ventura 影響:悪意のあるアプリケーションに、「探す」のデータに アクセス される可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2024-23229:Joshua Jewett 氏 (@JoshJewett33) 2024 年 5 月 13 日に追加 Image Processing 対象 OS...
システムから、ローカルユーザが任意のファイルを読み込める可能性がある。 説明:F_READBOOTSTRAP ioctl の処理に、整数オーバーフローの脆弱性が存在します。このため、HFS、HFS+、または HFS+J ファイルシステムから、ローカルユーザが任意のファイルを読み込める可能性があります。 CVE-ID CVE-2011-0180:Virtual Security Research の Dan Rosenberg 氏 ImageIO 対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:細工を施された Web サイト を閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。 説明:ImageIO による JPEG 画像の処理に、ヒープベースのバッファオーバーフローの脆弱性が存在します。悪意を持って作成された Web サイト に アクセス すると、アプリケーションが予期せず終了...
2024 年 1 月 22 日リリース Apple Neural Engine 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23212:Baidu Security の Ye Zhang 氏 CoreCrypto 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。 CVE-2024-23218:Clemens Lang 氏 Kernel 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE...
2024 年 3 月 7 日リリース Accessibility 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:アプリがシステムの通知や UI を偽装できる可能性がある。 説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。 CVE-2024-23262:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) 2024 年 3 月 7 日に追加 CoreCrypto 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処...
を処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23247:Qi'anxin Group の Legendsec の TianGong Team の m4yfly 氏 CoreCrypto 対象 OS:macOS Monterey 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できて しまう 場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。 CVE-2024-23218:Clemens Lang 氏 Dock 対象 OS:macOS Monterey 影響:通常ユーザアカウントで入手したアプリが、管理者ユーザがログインした後で権限を昇格できる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2024-23244:OffSec の Csaba Fitzl 氏 (@theevilbit) Image Processing 対象 OS:macOS...
されたマイクにアプリが アクセス できる可能性がある。 説明: アクセス 制限を改善し、 アクセス 関連の脆弱性に対処しました。 CVE-2024-23250:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) file 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-48554 Image Processing 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23270:匿名の研究者 ImageIO 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を強化...
2023 年 9 月 18 日リリース Accessibility 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:デバイスに物理的に アクセス できる人物が、プライベートなカレンダー情報に VoiceOver を使って アクセス できる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-40529:Lakshmi Narain College Of Technology Bhopal の Abhay Kailasia 氏 (@abhay_kailasia) 2023 年 12 月 22 日に追加 AirMac 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代...
macOS Ventura 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2023-40413:Adam M 氏 Foundation 対象 OS:macOS Ventura 影響:Web サイト がシンボリックリンクの解決時に機微なユーザデータに アクセス できる可能性がある。 説明:シンボリックリンクの処理を改善することで、この問題に対処しました。 CVE-2023-42844:BreakPoint.SH の Ron Masas 氏 Image Capture 対象 OS:macOS Ventura 影響:アプリが保護されたユーザデータに アクセス できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-41077:Mickey Jin 氏 (@patch1t) ImageIO 対象 OS:macOS Ventura 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40416:JZ...
2023 年 10 月 25 日リリース Automation 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリにルート権限を取得され、非公開の情報に アクセス される可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-42952:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09) 2024 年 2 月 16 日に追加 Contacts 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降...
16 日に追加 FileProvider 対象 OS:macOS Monterey 影響:アプリがエンドポイントセキュリティクライアントに対するサービス運用妨害を引き起こす可能性がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2023-42854:Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab) Find My 対象 OS:macOS Monterey 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2023-40413:Adam M 氏 Foundation 対象 OS:macOS Monterey 影響:Web サイト がシンボリックリンクの解決時に機微なユーザデータに アクセス できる可能性がある。 説明:シンボリックリンクの処理を改善することで、この問題に対処しました。 CVE-2023-42844:BreakPoint.SH の Ron Masas 氏 libc 対象 OS:macOS Monterey 影響...
iPhone 8 以降 影響:悪意のある Web サイト に アクセス すると、アドレスバーを偽装される可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-32795:Suma Soft Pvt. Ltd. (インド、プネー) の Narendra Bhati 氏 (@imnarendrabhati) Safari Extensions 対象:iPhone 8 以降 影響:Web サイト が Safari の Web 機能拡張を使ってユーザを追跡できる可能性がある。 説明:ステート管理を改善し、ロジックの問題に対処しました。 WebKit Bugzilla:242278 CVE-2022-32868:Michael 氏 Sandbox 対象:iPhone 8 以降 影響:ファイルシステムの保護された部分を App に変更されるおそれがある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2022-32881:Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2022 年 10 月 27 日に追加...
7.2、OS X Lion Server v10.7 から v10.7.2 
 影響:悪意を持って作成された Web サイト に アクセス すると、機密情報が漏洩する可能性がある。 
 説明:Libinfo によるホスト名検索リクエストの処理に問題が存在します。Libinfo は、悪意を持って作成されたホスト名に対して 不正 な結果を返す可能性があります。この問題は、OS X Lion より前のシステムでは発生しません。 
 CVE-ID 
 CVE-2011-3441:Facebook の Erling Ellingsen 氏 
 
 
 
 libresolv 
 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.2、OS X Lion Server v10.7 から v10.7.2 
 影響:OS X の libresolv...
ImageIO 対象:Apple Vision Pro 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 CVE-2024-23286:Dohyun Lee 氏 (@l33d0hyun) Kernel 対象:Apple Vision Pro 影響:アプリが機微なユーザデータに アクセス できる可能性がある。 説明:検証を追加することで、競合状態に対処しました。 CVE-2024-23235 Kernel 対象:Apple Vision Pro 影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。 説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23265:Pangu Lab の Xinru Chi 氏 Kernel 対象:Apple Vision Pro 影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ...
2024 年 3 月 7 日リリース Safari Private Browsing 対象:macOS Monterey および macOS Ventura 影響:プライベートブラウズのタブに、認証されないまま アクセス できる可能性がある。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2024-23273:Matej Rabzelj 氏 WebKit 対象:macOS Monterey および macOS Ventura 影響:悪意のある Web サイト に、オーディオデータをクロスオリジンで取得される可能性がある。 説明:UI の処理を改善することで、この問題を解決しました。 WebKit Bugzilla:263795 CVE-2024-23254:James Lee 氏 (@Windowsrcer) WebKit 対象:macOS Monterey および macOS Ventura 影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。 説明:検証を強化し、ロジックの脆弱性に対処...
盗難デバイスの保護」が有効になっている場合、iPhone が自宅や職場などのよく知っている場所から離れている間は、一部の機能やアクションに対するセキュリティ要件が厳しくなります。こうした要件強化のおかげで、デバイスを盗んだ窃盗犯にパスコードを知られていても、アカウントやデバイスに致命的な変更を加えられる事態を阻止できます。 Face ID または Touch ID による生体認証:保存済みのパスワードやクレジットカードへの アクセス などの一部のアクションを実行するには、Face ID または Touch ID による単一生体認証が必要になり、パスコードなどの代替手段は用意されていません。つまり、これらの機能は、デバイスの持ち主本人しか利用できません。 セキュリティ遅延:Apple ID のパスワードの変更といった一部のセキュリティアクションでは、さらに 1 時間待ってから 2 回目の Face ID 認証または Touch ID 認証を行う必要があります。 iPhone を盗まれた場合でも、窃盗犯に致命的な操作を実行されないようセキュリティ遅延が阻止してくれるため、その間にデバイス...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする