がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 WebKit Bugzilla:255350 CVE-2023-32409:Google の Threat Analysis Group の Clément Lecigne 氏、Amnesty International の Security Lab の Donncha Ó Cearbhaill 氏 WebKit 対象 OS:macOS Big Sur および macOS Monterey 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:入力検証を強化することで、領域外読み込みに対処しました。 WebKit Bugzilla:254930 CVE-2023-28204:匿名の研究者 WebKit 対象 OS:macOS Big Sur および macOS Monterey 影響:悪意を持って作成された Web コンテンツ...
iOS 16.5 および iPadOS 16.5 のセキュリティコンテンツについて説明します。
wojciechregula.blog)、匿名の研究者 WebKit 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 WebKit Bugzilla:255075 CVE-2023-32402:匿名の研究者 WebKit 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 WebKit Bugzilla:254781 CVE-2023-32423:Ignacio Sanmillan 氏 (@ulexec) WebKit 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 ...
2023-32423:Ignacio Sanmillan 氏 (@ulexec) WebKit 対象:Apple Watch Series 4 以降 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 WebKit Bugzilla:255350 CVE-2023-32409:Google の Threat Analysis Group の Clément Lecigne 氏、Amnesty International の Security Lab の Donncha Ó Cearbhaill 氏 WebKit 対象:Apple Watch Series 4 以降 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:入力検証を強化することで、領域外読み込みに対処しました。 WebKit...
を強化することで、領域外読み込みに対処しました。 WebKit Bugzilla:255075 CVE-2023-32402:Ignacio Sanmillan 氏 (@ulexec) 2023 年 12 月 21 日に更新 WebKit 対象 OS:macOS Ventura 影響:Web コンテンツを処理すると、機微情報が漏洩する可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 WebKit Bugzilla:254781 CVE-2023-32423:Ignacio Sanmillan 氏 (@ulexec) WebKit 対象 OS:macOS Ventura 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 WebKit Bugzilla:255350 CVE-2023-32409:Google の Threat Analysis Group...
ユーザが権限を昇格できる場合がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-38410:匿名の研究者 Kernel 対象 OS:macOS Ventura 影響:アプリが重要なカーネル状態を変更できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2023-38606:Kaspersky の Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor) Kernel 対象 OS:macOS Ventura 影響:リモートのユーザから、サービス運用妨害を受ける可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-38603:Kunlun Lab...
K. 氏 2023 年 7 月 27 日に追加 curl 対象 OS:macOS Monterey 影響:curl に複数の脆弱性がある。 説明:curl をアップデートして、複数の脆弱性に対処しました。 CVE-2023-28319 CVE-2023-28320 CVE-2023-28321 CVE-2023-28322 Find My 対象 OS:macOS Monterey 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2023-32416:SecuRing の Wojciech Regula 氏 (wojciechregula.blog) FontParser 対象 OS:macOS Monterey 影響:フォントファイルを処理すると、任意のコードが実行される可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2023...
年 7 月 27 日に追加 curl 対象 OS:macOS Big Sur 影響:curl に複数の脆弱性がある。 説明:curl をアップデートして、複数の脆弱性に対処しました。 CVE-2023-28319 CVE-2023-28320 CVE-2023-28321 CVE-2023-28322 FontParser 対象 OS:macOS Big Sur 影響:フォントファイルを処理すると、任意のコードが実行される可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2023-41990:Apple、Kaspersky の Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor) 2023 年 9 月 8...
対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:アプリが重要なカーネル状態を変更できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2023-38606:Kaspersky の Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor) Kernel 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2023-32381:匿名の研究者 CVE-2023-32433...
氏 (@Peterpan0927) CVE-2023-32441:STAR Labs SG Pte. Ltd. の Peter Nguyễn Vũ Hoàng 氏 (@peternguyen14) CVE-2023-38261:匿名の研究者 CVE-2023-38424:Certik Skyfall Team CVE-2023-38425:Certik Skyfall Team Kernel 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要なカーネル状態を変更できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2023-38606:Kaspersky の Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy...
Watch Series 4 以降 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2023-32381:匿名の研究者 CVE-2023-32433:Kunlun Lab の Zweig 氏 CVE-2023-35993:Alibaba Group の Kaitao Xie 氏および Xiaolong Bai 氏 Kernel 対象:Apple Watch Series 4 以降 影響:アプリが重要なカーネル状態を変更できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2023-38606:Kaspersky の Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy Kucherin 氏 (@kucher1n)、Leonid...
macOS Sonoma 14 のセキュリティコンテンツについて説明します。
氏 (@smlijun) および Jong Seong Kim 氏 (@nevul37) 2024 年 1 月 2 日に更新 WebKit 対象 OS:macOS Ventura 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 WebKit Bugzilla:261544 CVE-2023-41993:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏...
することで、この問題に対処しました。 CVE-2023-41984:STAR Labs SG Pte. Ltd. の Pan ZhenPeng 氏 (@Peterpan0927) 2023 年 9 月 26 日に追加 Kernel 対象 OS:macOS Monterey 影響:ローカルの攻撃者が権限を昇格できる場合がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-41992:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏 libxpc 対象 OS:macOS Monterey 影響:アプリが保護されたユーザデータにアクセスできる可能性がある。 説明:ステート管理を改善し、認証の脆弱性に対処しました。 CVE-2023-41073...
2023 年 6 月 21 日リリース Kernel 対象 OS:macOS Ventura 影響:App がカーネル権限で任意のコードを実行できる可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-32434:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor)、Valentin Pashkov 氏 2023 年 8 月 1 日に更新 WebKit 対象:macOS Ventura 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:チェックを強化し、型の取り違え (type confusion) の脆弱性...
2、iPad mini (第 4 世代)、iPod touch (第 7 世代) 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:入力検証を強化することで、領域外読み込みに対処しました。 WebKit Bugzilla:254930 CVE-2023-28204:匿名の研究者 WebKit 対象:iPhone 6s (すべてのモデル)、iPhone 7 (すべてのモデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、iPod touch (第 7 世代) 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 WebKit Bugzilla:254840 CVE-2023-32373...
2023 年 7 月 10 日リリース WebKit 対象 OS:macOS Big Sur および macOS Monterey 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-37450:匿名の研究者...
2023 年 6 月 21 日リリース Kernel 対象 OS:macOS Monterey 影響:App がカーネル権限で任意のコードを実行できる可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-32434:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor)、Valentin Pashkov 氏 2023 年 8 月 2 日に更新...
2023 年 6 月 21 日リリース Kernel 対象となるデバイス:Apple Watch Series 3、Series 4、Series 5、Series 6、Series 7、SE 影響:App がカーネル権限で任意のコードを実行できる可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-32434:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor)、Valentin Pashkov 氏 2023 年 8 月 2 日に更新...
2023 年 6 月 21 日リリース Kernel 対象 OS:macOS Big Sur 影響:App がカーネル権限で任意のコードを実行できる可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-32434:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor)、Valentin Pashkov 氏 2023 年 8 月 1 日に更新...
2023 年 6 月 21 日リリース Kernel 対象:Apple Watch Series 4 以降 影響:App がカーネル権限で任意のコードを実行できる可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2023-32434:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、Boris Larin 氏 (@oct0xor)、Valentin Pashkov 氏 2023 年 8 月 1 日に更新...
Lab の pattern-f 氏 (@pattern_F_) Kernel 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42845:ASU SEFCOM の Adam Doupé 氏 Kernel 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:任意の読み書き権限を持つ攻撃者が、ポインタ認証を回避できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 CVE-2022...
より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 CVE-2022-48618:Apple 2024 年 1 月 9 日に追加 libxml2 対象:Apple TV 4K、Apple TV 4K (第 2 世代以降)、Apple TV HD 影響:リモートユーザによって、アプリが突然終了されたり、任意のコードが実行されたりする可能性がある。 説明:入力検証を強化することで、整数オーバーフローに対処しました。 CVE-2022-40303:Google Project Zero の Maddie Stone 氏 libxml2 対象:Apple TV 4K、Apple TV 4K (第 2 世代以降)、Apple TV HD 影響:リモートユーザによって、アプリが突然終了されたり、任意のコードが実行されたりする可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-40304:Google Project Zero の Ned...
Kernel 対象 OS:macOS Ventura 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-42861:Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_) Kernel 対象 OS:macOS Ventura 影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42845:ASU SEFCOM の Adam Doupé 氏 Kernel 対象 OS:macOS Ventura 影響:任意の読み書き権限を持つ攻撃者が、ポインタ認証を回避できる可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:チェックを強化することで、この問題に対処しました。 CVE-2022-48618:Apple 2024 年 1 月...
Lab の Zweig 氏 Kernel 対象:Apple Watch Series 4 以降 影響:App がカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2022-32914:Kunlun Lab の Zweig 氏 Kernel 対象:Apple Watch Series 4 以降 影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-32894:匿名の研究者 Maps 対象:Apple Watch Series 4 以降 影響:App が重要な位置情報を読み取れる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2022-32883:breakpointhq.com の Ron Masas 氏...
2023 年 3 月 27 日リリース WebKit 対象 OS:macOS Big Sur および macOS Monterey 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を 把握 しています。 説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。 WebKit Bugzilla:251890 CVE-2023-32435:Kaspersky の Georgy Kucherin 氏 (@kucher1n)、Leonid Bezvershenko 氏 (@bzvr_)、および Boris Larin 氏 (@oct0xor) 2023 年 6 月 21 日に追加 WebKit 対象 OS:macOS Big Sur および macOS Monterey 影響:悪意を持って作成された Web コンテンツを処理すると、同一生成元ポリシーを回避される可能性がある。 説明:ステート管理を改善し、この問題に対処...
世代)、iPod touch (第 7 世代) 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。 WebKit Bugzilla:251944 CVE-2023-23529:匿名の研究者 WebKit 対象:iPhone 6s (すべてのモデル)、iPhone 7 (すべてのモデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、iPod touch (第 7 世代) 影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 WebKit Bugzilla:250429 CVE-2023-28198:Trend Micro Zero Day Initiative に協力...
iOS 16.4 および iPadOS 16.4 のセキュリティコンテンツについて説明します。
macOS Ventura 13.3 のセキュリティコンテンツについて説明します。
27 日に更新 Kernel 対象 OS:macOS Big Sur 影響:App がカーネルメモリを漏洩させる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-32864:Pinauten GmbH (pinauten.de) の Linus Henze 氏 Kernel 対象 OS:macOS Big Sur 影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-32894:匿名の研究者 Kernel 対象 OS:macOS Big Sur 影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について 把握 しています。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2022-32917:匿名の研究者...