OS X のトラストストアには、OS X にインストール済みの信頼されたルート証明書が保存されています。
認証局 CNNIC が中間証明書を不正に発行していたことが発覚しました。この件に対する措置として、一部の証明書のみを信頼する形で、CA を部分的に信頼する仕組みを追加しました。
影響:ロックダウンモードが有効になっているMacで、ファイルのURLから開いたWebコンテンツが、制限対象のWeb API を使用できる可能性がある。
影響:スペルチェック用 API を通じて、アプリが本来アクセス権のないファイルに不適切にアクセスできてしまう可能性がある。
影響:スペルチェック用 API を通じて、アプリが本来アクセス権のないファイルに不適切にアクセスできてしまう可能性がある。
影響:スペルチェック用 API を通じて、アプリが本来アクセス権のないファイルに不適切にアクセスできてしまう可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用( use -after-free)の脆弱性に対処しました。
説明:メモリ管理を強化し、解放済みメモリ使用( use -after-free)の脆弱性に対処しました。
説明:メモリ管理を強化し、解放済みメモリ使用( use -after-free)の脆弱性に対処しました。
説明:特権のある API コールにアクセス関連の脆弱性がありました。この問題は、制限を追加で設けることで解決されました。
説明:特権のある API コールにアクセス関連の脆弱性がありました。この問題は、制限を追加で設けることで解決されました。
説明:特権のある API コールにアクセス関連の脆弱性がありました。この問題は、制限を追加で設けることで解決されました。
説明:メモリ管理を強化し、解放済みメモリ使用 ( use -after-free) の脆弱性に対処しました。
Version: 1 (0x0) Serial Number: 4c:c7:ea:aa:98:3e:71:d3:93:10:f8:3d:3a:89:91:92 Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority - G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust Network Trust: Always Validity Not Before: May 18 00:00:00 1998 GMT Not After : Aug 1 23:59:59 2028 GMT Subject: C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority - G2, OU=(c) 1998 VeriSign...
Impact: A person with physical access to a locked system may use four-finger Multi-Touch gestures
説明:Safari による PDF ファイルの処理に、 use -after-free (解放後使用) の問題が存在します。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、PDF ファイルの処理を改善することで解消されています。この問題の報告は、Sarenet の Borja Marcos 氏の功績によるものです。...
説明:libxml2 に解放後使用 ( use after free) の問題が複数存在し、これらの問題に起因する最も重大な問題として、アプリケーションが予期せず終了する可能性があります。これらの問題は、メモリ処理を改善することで解消されています。これらの問題の報告は、Codenomicon Ltd. における CROSS プロジェクトに参加している Rauli Kaksonen 氏と Jukka Taimisto 氏の功績によるものです。...
説明:mDNSResponder は、ユニキャスト DNS 解決 API を使用するアプリケーション向けにホスト名と IP アドレスを変換します。DNS プロトコルの脆弱性が原因で、リモート攻撃者による DNS キャッシュポイズニング攻撃を受け、mDNSResponder を DNS として使用しているアプリケーションが偽りの情報を受信する場合があります。このアップデートでは、ソースポートとトランザクション ID のランダマイゼーションを導入し、キャッシュポイズニング攻撃に対する回復力を強化することで問題が解消しています。この問題の報告は、IOActive の Dan Kaminsky 氏の功績によるものです。...
説明:Storage Access API の処理に情報漏洩の脆弱性がありました。この問題は、ロジックを改善することで解決されました。
説明:mDNSResponder は、ユニキャスト DNS 解決 API を使用するアプリケーション向けにホスト名と IP アドレスを変換します。DNS プロトコルの脆弱性が原因で、リモート攻撃者による DNS キャッシュポイズニング攻撃を受け、mDNSResponder を DNS として使用しているアプリケーションが偽りの情報を受信する場合があります。このアップデートでは、ソースポートとトランザクション ID のランダマイゼーションを導入し、キャッシュポイズニング攻撃に対する回復力を強化することで問題が解消しています。この問題の報告は、IOActive の Dan Kaminsky 氏の功績によるものです。...
説明:CoreAnimation に、解放済みメモリ使用 ( use -after-free) の脆弱性が存在します。 この問題は、ミューテックス管理を改善することで解決されました。
説明:Storage Access API の処理に情報漏洩の脆弱性がありました。この問題は、ロジックを改善することで解決されました。
How to use the Apple Product Security PGP Key
説明:カーネル拡張機能に関連する API の処理にメモリ管理の脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性がありました。この問題はメモリ管理を改善することで解決されました。
説明:メモリ管理を強化し、解放済みメモリ使用 ( use -after-free) の脆弱性に対処しました。
説明:Storage Access API の処理に情報漏洩の脆弱性がありました。この問題は、ロジックを改善することで解決されました。
説明:特定の状況では、アプリケーションやシステムによってバンドルが暗黙のうちに登録されることがあります。バンドルが登録されると、クライアントアプリケーションが明示的に要求しなくても、バンドル API の機能によってダイナミックライブラリが読み込まれて実行されます。その結果、ユーザが明示的に操作しなくても、信頼できないバンドルから任意のコードが実行される可能性があります。このアップデートでは、適切なタイミングでのみバンドルからライブラリを読み込んで実行することによって問題が解消されています。...
説明:Storage Access API の処理に情報漏洩の脆弱性がありました。この問題は、ロジックを改善することで解決されました。
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする