iOS 15.7. 3 および iPadOS 15.7. 3 のセキュリティコンテンツについて説明します。
のデバイスで Apple ID を密かに永続化できる可能性がある。 説明:ステート管理を改善し、この問題に対処しました。 CVE-2023-42855:Sam Lakmaker 氏 2024 年 2 月 16 日 に追加 Share Sheet 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-42878:Kirin 氏 (@Pwnrin)、SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、"Tudor Vianu" National High School of Computer Science (ルーマニア...
2022 年 12 月 13 日 リリース Accessibility 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:ロックされた Apple Watch に物理的にアクセスできるユーザが、アクセシビリティ機能を使ってユーザの写真を表示できる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2022-46717:Zhuhai No.1 Middle School (珠海市第一中学) の Zitong Wu (吴梓桐) 氏 2023 年 3 月 16 日 に追加 Accounts 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:ユーザが、ユーザの機微情報を閲覧できる可能性がある。 説明:この問題は、データ保護を強化することで解決されました。 CVE-2022-42843...
Android 向け Apple Music 3 .9.10 のセキュリティコンテンツについて説明します。
incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048) Validity Not Before: Dec 24 17:50:51 1999 GMT Not After : Dec 24 18: 20 :51 2019 GMT Subject: O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048) Certificate: Data: Version: 3 (0x2) Serial Number: 57923 (0xe243) Signature Algorithm: sha1WithRSAEncryption Issuer: C=AT, O=\x00A\x00-\x00T\x00r\x...
をアプリに変更されるおそれがある。 説明:シンボリックリンクの検証を改善することで、この問題に対処しました。 CVE-2024-27885:Mickey Jin 氏 (@patch1t) 2024 年 6 月 10 日 に追加 PackageKit 対象 OS:macOS Ventura 影響:アプリが権限を昇格させることが可能な場合がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-27824:Pedro Tôrres 氏 (@t0rr 3 sp 3 dr0) 2024 年 6 月 10 日 に追加 RTKit 対象 OS:macOS Ventura 影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。 Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23296 SharedFileList 対象 OS:macOS Ventura 影響:アプリが権限を昇格させることが可能な場合がある。 説明:チェックを強化し、ロジック...
世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23257:Trend Micro Zero Day Initiative に協力する Junsung Lee 氏 2024 年 3 月 7 日 に追加 Kernel 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。 Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23225 Kernel 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ...
2022 年 10 月 24 日 リリース Apple Neural Engine 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-32932:Mohamed Ghannam 氏 (@_simo36) 2022 年 10 月 27 日 に追加 AppleMobileFileIntegrity 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:この問題は、追加のエンタイトルメントを削除することで解決されました。 CVE-2022-42825:Mickey Jin 氏 (@patch1t...
iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:攻撃者が、ユーザアカウントのメールを漏洩させる可能性がある。 説明:機微情報の墨消しを改善することで、アクセス権の問題に対処しました。 CVE-2023-34352:MacPaw Inc. の Sergii Kryvoblotskyi 氏 2023 年 9 月 5 日 に追加 Apple Neural Engine 対象となる Apple Neural Engine 搭載デバイス:iPhone 8 以降、iPad Pro (第 3 世代) 以降、iPad Air (第 3 世代) 以降、iPad mini (第 5 世代) 影響:アプリに昇格した権限を取得される可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-32425:Mohamed GHANNAM 氏 (@_simo36) 2023 年 9 月 5 日 に追加 AppleMobileFileIntegrity 対象...
Jin 氏 (@patch1t) Assets 対象 OS:macOS Sonoma 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:一時ファイルの処理を改善することで、問題に対処しました。 CVE-2023-42896:Mickey Jin 氏 (@patch1t) 2024 年 3 月 22 日 に追加 AVEVideoEncoder 対象 OS:macOS Sonoma 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42884:匿名の研究者 Bluetooth 対象 OS:macOS Sonoma 影響:ネットワーク上の特権的な地位を悪用した攻撃者が、キーボードを偽装してキーストロークインジェクション攻撃をしかけることができる。 説明:チェックを強化することで、この問題に対処しました。 CVE-2023-45866:SkySafe の Marc Newlin 氏 CoreMedia Playback 対象 OS:macOS Sonoma 影響:アプリが機微...
することで、この問題に対処しました。 CVE-2024-27885:Mickey Jin 氏 (@patch1t) 2024 年 6 月 10 日 に追加 PackageKit 対象 OS:macOS Monterey 影響:アプリが権限を昇格させることが可能な場合がある。 説明:この問題は、脆弱なコードを削除することで解決されました。 CVE-2024-27824:Pedro Tôrres 氏 (@t0rr 3 sp 3 dr0) 2024 年 6 月 10 日 に追加 SharedFileList 対象 OS:macOS Monterey 影響:アプリが権限を昇格させることが可能な場合がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2024-27843:Mickey Jin 氏 (@patch1t) 2024 年 6 月 10 日 に追加 Spotlight 対象 OS:macOS Monterey 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:この問題は、環境のサニタイズ処理を改善することで解決されました。 CVE-2024-27806 2024 年 6 月 ...
2023 年 12 月 11 日 リリース Accessibility 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-42937:Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab) 2024 年 1 月 22 日 に追加 Accounts 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降...
Benoist-Vanderbeken 氏 (@elvanderb) LaunchServices 対象: Apple TV 4K (すべてのモデル) および Apple TV HD 影響:App に Gatekeeper のチェックを回避される可能性がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2023-32352:SecuRing の Wojciech Reguła 氏 (@_r 3 ggi) (wojciechregula.blog) 2023 年 9 月 5 日 に追加 MallocStackLogging 対象: Apple TV 4K (すべてのモデル) および Apple TV HD 影響:App がルート権限を取得できる可能性がある。 説明:この問題は、ファイルの処理を改善することで解決されました。 CVE-2023-32428:Gergely Kalman 氏 (@gergely_kalman) 2023 年 9 月 5 日 に追加 Metal 対象: Apple TV 4K (すべてのモデル) および Apple TV HD 影響:App がプライバシーの環境...
第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:悪意を持って作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2024-27802:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm) 2024 年 6 月 10 日 に追加 RTKit 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。 Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。 説明:検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2024-23296 Shortcuts 対象:iPhone...
Xcode 15. 3 のセキュリティコンテンツについて説明します。
AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:Hardened Runtime を有効にして、この問題に対処しました。 CVE-2022-32880:SecuRing の Wojciech Reguła 氏 (@_r 3 ggi)、Trend Micro の Mickey Jin 氏 (@patch1t)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2022 年 9 月 16 日 に追加 AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリがルート権限を取得できる可能性がある。 説明:ステート管理を改善し、認証の脆弱性に対処しました。 CVE-2022-32826:Trend Micro の Mickey Jin 氏 (@patch1t) Apple Neural Engine 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化...
2023-32414:Mickey Jin 氏 (@patch1t) Face Gallery 対象 OS:macOS Ventura 影響:ロックされた Apple Watch に物理的にアクセスできる攻撃者が、アクセシビリティ機能を使ってユーザの写真や連絡先を表示できる可能性がある。 説明:この問題は、ロックされたデバイスで提示されるオプションを制限することで解決されました。 CVE-2023-32417:Zhuhai No.1 High School (珠海市第一中学) の Zitong Wu (吴梓桐) 氏 2023 年 9 月 5 日 に追加 GeoServices 対象 OS:macOS Ventura 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-32392:Adam M. 氏 2023 年 9 月 5 日 に更新 ImageIO 対象 OS:macOS Ventura 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:入力検証...
2023 年 9 月 18 日 リリース App Store 対象: Apple Watch Series 4 以降 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある。 説明:プロトコルの処理を改善することで、この問題に対処しました。 CVE-2023-40448:w0wbox 氏 Apple Neural Engine 対象となる Apple Neural Engine 搭載デバイス: Apple Watch Series 9、 Apple Watch Ultra 2 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40432:Mohamed GHANNAM 氏 (@_simo36) CVE-2023-41174:Mohamed GHANNAM 氏 (@_simo36) CVE-2023-40409:Baidu Security の Ye Zhang 氏 (@VAR10CK) CVE-2023-40412:Mohamed GHANNAM 氏 (@_simo...
2022 年 12 月 13 日 リリース Accounts 対象 OS:macOS Ventura 影響:ユーザが、ユーザの機微情報を閲覧できる可能性がある。 説明:この問題は、データ保護を強化することで解決されました。 CVE-2022-42843:Mickey Jin 氏 (@patch1t) AMD 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2022-42858:ABC Research s.r.o. 2023 年 3 月 16 日 に追加 AMD 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-42847:ABC Research s.r.o. AppleMobileFileIntegrity 対象 OS:macOS Ventura 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明...
Apple Configurator 1.4. 3 について説明します。
2024 年 3 月 7 日 リリース Accessibility 対象 OS:macOS Sonoma 影響:悪意のあるアプリが、アクセシビリティの通知に関連するログエントリでユーザデータを観察できる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2024-23291 Admin Framework 対象 OS:macOS Sonoma 影響:アプリが権限を昇格させることが可能な場合がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2024-23276:Kirin 氏 (@Pwnrin) AirMac 対象 OS:macOS Sonoma 影響:アプリが機微な位置情報を読み取れる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2024-23227:Brian McNulty 氏 AppleMobileFileIntegrity 対象 OS:macOS Sonoma 影響:このアプリに付与されたエンタイトルメントとプライバシーのアクセス...
2023 年 9 月 18 日 リリース AirMac 対象: Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:機微情報の墨消しを改善することで、アクセス権の問題に対処しました。 CVE-2023-40384:Adam M. 氏 App Store 対象: Apple TV HD および Apple TV 4K (すべてのモデル) 影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある。 説明:プロトコルの処理を改善することで、この問題に対処しました。 CVE-2023-40448:w0wbox 氏 Apple Neural Engine 対象: Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40432:Mohamed GHANNAM 氏 (@_simo36) CVE-2023-41174...
2023 年 12 月 11 日 リリース Accounts 対象 OS:macOS Monterey 影響:アプリがユーザの機微データにアクセスできる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-42919:Kirin 氏 (@Pwnrin) AppleEvent 対象 OS:macOS Monterey 影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2023-42894:Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab) Assets 対象 OS:macOS Monterey 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:一時ファイルの処理を改善することで、問題に対処しました。 CVE-2023-42896:Mickey Jin 氏 (@patch1t) 2024 年 3 月 22 日 に追加...
医師により心房細動の診断を受けている必要があります。 iPhone を最新バージョンの iOS にアップデートし、 Apple Watch を最新バージョンの watchOS にアップデートします。 推定値を継続して受け取るには、 Apple Watch を 1 週間のうち 5 日間、1 日 12 時間以上着用する必要があります。 Apple Watch で心拍数と手首検出が有効になっている必要があります。 心房細動履歴は 22 歳未満の方の使用を想定していません。...
Apple Watch Series 4 以降 影響:App にシステムを突然終了されたり、カーネルメモリを読み取られる可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32420:CertiK SkyFall Team および Pinauten GmbH (pinauten.de) の Linus Henze 氏 2023 年 9 月 5 日 に更新 Kernel 対象: Apple Watch Series 4 以降 影響:App がカーネル権限で任意のコードを実行できる可能性がある。 説明:チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。 CVE-2023-27930:Jamf の 08Tc 3 wBB 氏 Kernel 対象: Apple Watch Series 4 以降 影響:App がカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。 CVE-2023-32398:ASU SEFCOM...
Reguła 氏 (@_r 3 ggi) 2022 年 7 月 6 日 に追加 AppleScript 対象 OS:macOS Monterey 影響:悪意を持って作成された AppleScript バイナリを処理すると、アプリケーションが予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。 説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。 CVE-2022-26697:Trend Micro の Qi Sun 氏および Robert Ai 氏 AppleScript 対象 OS:macOS Monterey 影響:悪意を持って作成された AppleScript バイナリを処理すると、アプリケーションが予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。 説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。 CVE-2022-26698:Trend Micro の Qi Sun 氏、Baidu Security の Ye Zhang 氏 (@co0py_Cat) 2022 年 7 月 6 日 に更新 AVEVideoEncoder...
2024 年 5 月 13 日 リリース Safari 対象:macOS Monterey および macOS Ventura 影響:Web サイトの許可ダイアログが、サイトから離れた後に表示されることがある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2024-27844:Suma Soft Pvt. Ltd. (インド、プネー) のNarendra Bhati 氏、Shaheen Fazim 氏 2024 年 6 月 10 日 に追加 WebKit 対象:macOS Monterey および macOS Ventura 影響:任意の読み書き権限を持つ攻撃者が、ポインタ認証を回避できる可能性がある。 説明:チェックを強化することで、この問題に対処しました。 WebKit Bugzilla:272750 CVE-2024-27834:Trend Micro の Zero Day Initiative に協力する Manfred Paul 氏 (@_manfp) WebKit 対象:macOS Monterey および macOS Ventura 影響:悪意を持っ...
2023 年 10 月 25 日 リリース CoreAnimation 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリからサービス運用妨害を受ける可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40449:iTomsn0w の Tomi Tokics 氏 (@tomitokics) Core Recents 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:ログをサニタイズすることで、この問題に対処しました。 CVE-2023-42823 2024 年 2 月 16 日 に追加 Find My 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 ...
2024 年 3 月 7 日 リリース Admin Framework 対象 OS:macOS Ventura 影響:アプリが権限を昇格させることが可能な場合がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2024-23276:Kirin 氏 (@Pwnrin) AirMac 対象 OS:macOS Ventura 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:機微情報の墨消しを改善することで、この問題に対処しました。 CVE-2024-23227:Brian McNulty 氏 AppleMobileFileIntegrity 対象 OS:macOS Ventura 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:Intel 搭載モデルの Mac コンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。 CVE-2024-23269:Mickey Jin 氏 (@patch1t) ColorSync 対象 OS:macOS Ventura 影響:ファイルを処理...
Apple の Web サーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その功績を称えるため、 Apple ではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。...