世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがシステムの通知や UI を偽装できる可能性がある。 説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。 CVE-2024-23262: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) 2024 年 3 月 7 日に追加 Accessibility 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意のあるアプリが、アクセシビリティの通知に関連するログエントリでユーザデータを観察できる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2024-23291 2024 年 3 月 7 日に追加...
2024 年 3 月 7 日リリース Accessibility 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:アプリがシステムの通知や UI を偽装できる可能性がある。 説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。 CVE-2024-23262: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) 2024 年 3 月 7 日に追加 CoreCrypto 対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代) 影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できてしまう場合があある。 説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処...
23249:Qi'anxin Group の Legendsec の TianGong Team の m4yfly 氏 CoreBluetooth - LE 対象 OS:macOS Sonoma 影響:ユーザの許可がなくても、Bluetooth で接続されたマイクにアプリがアクセスできる可能性がある。 説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。 CVE-2024-23250: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) Disk Images 対象 OS:macOS Sonoma 影響:アプリがサンドボックスを破って外部で実行される可能性がある。 説明:チェックを強化することで、この問題に対処しました。 CVE-2024-23299:匿名の研究者 2024 年 5 月 29 日に追加 Dock 対象 OS:macOS Sonoma 影響:通常ユーザアカウントで入手したアプリが、管理者ユーザがログインした後で権限を昇格できる可能性がある。 説明:制限を強化し、ロジックの脆弱性に対処しました。 CVE-2024-23244...
2024 年 3 月 7 日リリース Accessibility 対象:Apple Vision Pro 影響:アプリがシステムの通知や UI を偽装できる可能性がある。 説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。 CVE-2024-23262: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) ImageIO 対象:Apple Vision Pro 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23257:Trend Micro Zero Day Initiative に協力する Junsung Lee 氏 ImageIO 対象:Apple Vision Pro 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2024-23258:pangu チームの Zhenjiang Zhao 氏、Qianxin 氏...
されたマイクにアプリがアクセスできる可能性がある。 説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。 CVE-2024-23250: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) file 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-48554 Image Processing 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2024-23270:匿名の研究者 ImageIO 対象:Apple TV HD および Apple TV 4K (すべてのモデル) 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を強化...
関連の脆弱性に対処しました。 CVE-2024-23250: Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes) file 対象:Apple Watch Series 4 以降 影響:ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。 説明:この問題は、チェックを強化することで解決されました。 CVE-2022-48554 ImageIO 対象:Apple Watch Series 4 以降 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 CVE-2024-23286:Trend Micro Zero Day Initiative に取り組んでいる Junsung Lee 氏、CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏、Dohyun Lee 氏 (@l33d0hyun)、および Lyutoon 氏...
性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-27939:Trend Micro Zero Day Initiative に協力する jzhu 氏 CVE-2023-27947:Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) CVE-2023-27948:Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) CVE-2023-42862:Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) CVE-2023-42865:Trend Micro Zero Day Initiative に協力する jzhu 氏、Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年 8 月 1 日に追加...
する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42798:Trend Micro Zero Day Initiative に協力する匿名者 2022 年 10 月 27 日に追加 AVEVideoEncoder 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:配列境界チェック機能を改善することで、この問題に対処しました。 CVE-2022-32940:ABC Research s.r.o. Beta Access Utility 対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018...
Apple TV 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:キャッシュの処理を改善することで、この問題に対処しました。 CVE-2022-32909:Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2023 年 12 月 21 日に追加 Audio 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を持って作成されたオーディオファイルを解析すると、ユーザ情報が漏洩する可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42798:Trend Micro Zero Day Initiative に協力する匿名者 2022 年 10 月 27 日...
を強化することで、領域外読み込みに対処しました。 CVE-2023-32372:Trend Micro Zero Day Initiative に協力する Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年 9 月 5 日に更新 ImageIO 対象 OS:macOS Ventura 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。 CVE-2023-32384:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm) IOSurface 対象 OS:macOS Ventura 影響:アプリが重要なカーネル状態を漏洩させる可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32410: hou xuewei 氏 (@p1ay8y3ar) vmk msu...
以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-32392:Adam M. 氏 2023 年 9 月 5 日に更新 ImageIO 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32372:Trend Micro Zero Day Initiative に協力する Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年...
に対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。 CVE-2023-32392:Adam M. 氏 2023 年 9 月 5 日に更新 ImageIO 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32372:Trend Micro Zero Day Initiative に協力する Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年 9 月 5 日に更新 ImageIO 対象:Apple TV 4K (すべてのモデル) および Apple TV HD 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。 CVE-2023-32384:Trend Micro Zero Day ...
Micro Zero Day Initiative に協力する Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) 2023 年 9 月 5 日に更新 ImageIO 対象:Apple Watch Series 4 以降 影響:画像を処理すると、任意のコードが実行される可能性がある。 説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。 CVE-2023-32384:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm) IOSurfaceAccelerator 対象:Apple Watch Series 4 以降 影響:App がカーネルメモリを漏洩させる可能性がある。 説明:入力検証を強化することで、領域外読み込みに対処しました。 CVE-2023-32354:Pinauten GmbH (pinauten.de) の Linus Henze 氏 IOSurfaceAccelerator 対象...
1 
 影響:FileVault に変換しても既存のデータがすべて消去されない。 
 説明:FileVault を 有効 にした後、ボリュームの最初の約 250 MB がディスク上の未使用領域に暗号化されない状態で残ります。FileVault を 有効 にする前にボリュームに存在していたデータのみが、暗号化されない状態で残ります。この問題は、FileVault を 有効 にして、この問題の影響を受ける暗号化されたボリュームを最初に使うときに、該当の領域を消去することで解消されています。この問題は、OS X Lion より前のシステムでは発生しません。 
 CVE-ID 
 CVE-2011-3212:ATC-NY の Judson Powers 氏 
 
 
 
 ファイルシステム 
 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X...
Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.2、OS X Lion Server v10.7 から v10.7.2 
 影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。 
 説明:暗号化スイートが CBC モードでブロック暗号を使用する際に、SSL 3.0 および TLS 1.0 の機密性に対する既知の攻撃があります。Apache は、これらの攻撃を防ぐ「空のフラグメント」の対応策を無効にしていました。この問題は、構成パラメータを設定してこの対応策を制御し、デフォルトで 有効 にすることで解決されています。 
 CVE-ID 
 CVE-2011-3389 
 
 
 
 ATS 
 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 から v10.7.2、OS X Lion Server...
macOS Sonoma 14 のセキュリティコンテンツについて説明します。
macOS Monterey 影響:apache に複数の脆弱性がある。 説明:apache をバージョン 2.4.53 にアップデートして、複数の脆弱性に対処しました。 CVE-2021-44224 CVE-2021-44790 CVE-2022-22719 CVE-2022-22720 CVE-2022-22721 AppleGraphicsControl 対象 OS:macOS Monterey 影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。 CVE-2022-26751:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi) AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:ユーザが、重要なユーザ情報を閲覧できる可能性がある。 説明:環境変数の処理に脆弱性がありましたが、検証を強化して対処しました。 CVE-2022-26707:SecuRing の Wojciech...
NewLine; curl 
 対象となるバージョン:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 から v10.7.3、OS X Lion Server v10.7 から v10.7.3 
 影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。 
 説明:暗号化スイートが CBC モードでブロック暗号を使用する際に、SSL 3.0 および TLS 1.0 の機密性に対する既知の攻撃があります。curl は、これらの攻撃を防ぐ「空のフラグメント」の対応策を無効にしていました。この問題は、「空のフラグメント」を 有効 にすることで解決されています。 
 CVE-ID 
 CVE-2011-3389:Apple 
 
 
 
 curl 
 対象となるバージョン:OS X Lion v10.7 から v10.7.3、OS X Lion Server v10.7...
Apple Pay は、主要な銀行から発行されている多くのクレジットカードやデビットカードに対応しています。対応しているカードを Apple Pay に追加すれば、これまでと同じようにカードのポイントをためたり特典や補償を受けたりできます。
Runtime を 有効 にして、この問題に対処しました。 CVE-2022-42865:SecuRing の Wojciech Reguła 氏 (@_r3ggi) AVEVideoEncoder 対象:Apple TV 4K、Apple TV 4K (第 2 世代以降)、Apple TV HD 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:チェックを強化し、ロジックの脆弱性に対処しました。 CVE-2022-42848:ABC Research s.r.o ImageIO 対象:Apple TV 4K、Apple TV 4K (第 2 世代以降)、Apple TV HD 影響:悪意を持って作成されたファイルを処理すると、任意のコードが実行される可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-46693:Mickey Jin 氏 (@patch1t) ImageIO 対象:Apple TV 4K、Apple TV 4K (第 2 世代以降)、Apple TV HD 影響:悪意を持って作成された TIFF ファイル...
Mickey Jin 氏 (@patch1t) AppleAVD 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:悪意を持って作成されたビデオファイルを解析すると、カーネルコードが実行される可能性がある。 説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。 CVE-2022-46694:Andrey Labunets 氏および Nikita Tarakanov 氏 AppleMobileFileIntegrity 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明:Hardened Runtime を 有効 にして、この問題に対処しました。 CVE-2022-42865:SecuRing の Wojciech Reguła 氏 (@_r...
に対処しました。 CVE-2022-46694:Andrey Labunets 氏および Nikita Tarakanov 氏 AppleMobileFileIntegrity 対象:Apple Watch Series 4 以降 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明:Hardened Runtime を 有効 にして、この問題に対処しました。 CVE-2022-42865:SecuRing の Wojciech Reguła 氏 (@_r3ggi) CoreServices 対象:Apple Watch Series 4 以降 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明:脆弱なコードを削除することで、複数の問題に対処しました。 CVE-2022-42859:Mickey Jin 氏 (@patch1t)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) ImageIO 対象:Apple Watch Series 4 以降 影響:悪意を持って作成されたファイルを処理すると、任意のコードが実行...
Hardened Runtime を 有効 にして、この問題に対処しました。 CVE-2022-42865:SecuRing の Wojciech Reguła 氏 (@_r3ggi) Bluetooth 対象 OS:macOS Ventura 影響:アプリがカーネルメモリを漏洩させる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2022-42854:STAR Labs SG Pte. Ltd. (@starlabs_sg) の Pan ZhenPeng 氏 (@Peterpan0927) Boot Camp 対象 OS:macOS Ventura 影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。 説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。 CVE-2022-42853:Trend Micro の Mickey Jin 氏 (@patch1t) CoreServices 対象 OS:macOS Ventura 影響:アプリがプライバシーの環境設定を回避する可能性がある。 説明:脆弱なコードを削除することで、複数の問題...
Google Security Team の Felix Grobert 氏、TippingPoint の Zero Day Initiative に協力している匿名の研究者 ATS 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。 説明:SFNT テーブルの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。 CVE-ID CVE-2011-0177:Red Hat Security Response Team の Marc Schoenefeld 氏 bzip2 対象となるバージョン:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6 ~ v10.6.6、Mac OS X...
AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリが重要なユーザデータにアクセスできる可能性がある。 説明:Hardened Runtime を 有効 にして、この問題に対処しました。 CVE-2022-32880:SecuRing の Wojciech Reguła 氏 (@_r3ggi)、Trend Micro の Mickey Jin 氏 (@patch1t)、Offensive Security の Csaba Fitzl 氏 (@theevilbit) 2022 年 9 月 16 日に追加 AppleMobileFileIntegrity 対象 OS:macOS Monterey 影響:アプリがルート権限を取得できる可能性がある。 説明:ステート管理を改善し、認証の脆弱性に対処しました。 CVE-2022-32826:Trend Micro の Mickey Jin 氏 (@patch1t) Apple Neural Engine 対象 OS:macOS Monterey 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:入力検証を強化...
することで解決されました。 
 CVE-ID 
 CVE-2014-1246:HP の Zero Day Initiative に協力する匿名の研究者 
 
 
 
 QuickTime 
 対象:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 および 10.9.1 
 影響:巧妙に細工されたムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。 
 説明:「dref」アトムの処理に、メモリ破損に関する問題...
ID CVE-2015-1117:Google Inc. の Mark Mentovai 氏 カーネル 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:悪意のあるアプリケーションに、システムを突然終了されたり、カーネルメモリを読み取られる可能性がある。 説明:カーネルに領域外メモリアクセスの脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。 CVE-ID CVE-2015-1100:m00nbsd の Maxime Villard 氏 カーネル 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。 説明:カーネルにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。 CVE-ID CVE-2015-1101 : HP の Zero Day Initiative に協力する lokihardt...
する Chaitanya 氏 (SegFault) curl 対象 OS:OS X Mavericks 10.9 to 10.9.3 影響:リモートの攻撃者が、別のユーザのセッションにアクセスできる可能性がある。 説明:複数の認証方式が 有効 になっている場合、cURL が NTLM 接続を再利用するため、攻撃者が別のユーザのセッションにアクセスできるようになります。 CVE-ID CVE-2014-0015 Dock 対象 OS:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 〜 10.9.3 影響:サンドボックス化されたアプリケーションが、サンドボックスの制約を回避できる可能性がある。 説明:Dock によるアプリケーションからのメッセージの処理に、配列インデックスの検証不備の脆弱性がありました。悪意を持って作成されたメッセージによって、無効な関数ポインタの参照先が取得され (逆参照)、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。 CVE...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする