リクエストヘッダに関する問題がありました。リダイレクト応答で送信された HTTP リクエストヘッダが、別の生成元に引き渡される可能性がありました。この問題は、リダイレクト処理を改善することで解決されました。 CVE-ID CVE-2015-1091:Diego Torres 氏 (http://dtorres.me) CFURL 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。 説明:URL の処理に、入力検証の脆弱性が存在します。この問題は、URL の検証を強化することで解決されました。 CVE-ID CVE-2015-1088 Foundation 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:NSXMLParser を使うアプリケーションが誤用され、情報が開示される可能性がある。 説明:NSXMLParser による XML の処理に、 XML 外部...
CVE-2011-0199: Google の Chris Hawk 氏および Wan-Teh Chang 氏
CVE-2011-0202:Modulo Consulting の Cristian Draghici 氏、 Google Security Team の Felix Grobert 氏
説明:CoreGraphics による引数の処理にはメモリ破損に関する脆弱性があり、Web ブラウザなどのアプリケーションから CoreGraphics に信頼できない入力値が渡されると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。Mac OS X システムについては、セキュリティアップデート 2008-005 で問題が解決されています。この問題の報告は、 Google Inc. の Michal Zalewski 氏の功績によるものです。...
説明:FreeType v2.3.8 で複数の整数オーバーフローが発生し、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、 Google Security Team の Tavis Ormandy 氏の功績によるものです。...
CVE-2014-4390: Google Project Zero の Ian Beer 氏
影響:悪意を持って作成された XML コンテンツを解析すると、アプリケーションが予期せず終了する可能性がある。
Description: A heap buffer overflow exists in the handling of images with an embedded ColorSync profile. Opening a maliciously crafted image with an embedded ColorSync profile may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue by performing additional validation of ColorSync profiles. Credit to Chris Evans of the Google Security Team for reporting this issue....
CAN-2003-0050 を修正し、QTSS の任意のコマンドが実行される問題を解決しました。QuickTime Streaming Administration Server は、ユーザの認証とユーザとのインターフェイスに parse_ xml .cgi を使用しています。この CGI では、検証されていない入力が許され、リモートの攻撃者がサーバ上で任意のコードを実行して root 権限を取得することが可能になっていました。この脆弱性の発見は、@stake, Inc. の Dave G. 氏の功績によるものです。...
影響: XML 文書を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
Impact: Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution...
CVE-2014-8836: Google Project Zero の Ian Beer 氏
CVE-2019-8830: Google Project Zero の natashenka 氏
影響:悪意を持って作成された XML ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
CVE-2016-1803: Google Project Zero の Ian Beer 氏、Trend Micro の Zero Day Initiative に協力する daybreaker 氏
影響:悪意を持って作成された XML ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:NSXMLParser による XML の処理に、 XML 外部エンティティの問題がありました。この問題は、オリジン間で外部エンティティを読み込まないようにすることで解決されました。
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
説明: XML ファイルの処理に、メモリ破損に関する問題が存在します。この問題はバウンドチェック機能を強化することで解消されました。
影響:悪意を持って作成された Web サイトを訪問すると、 Java プラグインが無効になっていても Java Web Start アプリケーションを自動的に起動される場合がある。
CVE-2016-1719: Google Project Zero の Ian Beer 氏
説明:悪意を持って作成された Web サイトに、URL ハンドラを通じて、デバイス上で別のアプリケーションが繰り返し実行されるような Java スクリプトが含まれている場合があります。MobileSafari で、このような Web サイトにアクセスすると、MobileSafari が終了し、ターゲットアプリケーションが起動されます。このシーケンスは、MobileSafari を起動するたびに実行されます。この問題は、URL ハンドラを介して別のアプリケーションが起動された後、Safari が再び起動された場合は、前のページに戻るようにしたことで解決されています。...
CVE-2020-3826: Google Project Zero の Samuel Groß 氏
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
CVE-2020-3826: Google Project Zero の Samuel Groß 氏
CVE-2020-3826: Google Project Zero の Samuel Groß 氏
CVE-2020-3826: Google Project Zero の Samuel Groß 氏
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
CVE-2015-7110: Google Project Zero の Ian Beer 氏
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする