個人の データ やプライバシーを自ら管理していただく方策の1つとして、Appleでは、ご自分のApple Accountに関連付けられている データ のコピーを開示申請できるようにしています。この機能を利用できるかどうかは、国や地域によって異なります。...
アンバーアラート(America's Missing: Broadcast Emergency Response )
説明:ログエントリに対するプライバシー データ の墨消しを改善することで、プライバシーの問題に対処しました。
説明:ログエントリに対するプライバシー データ の墨消しを改善することで、プライバシーの問題に対処しました。
モバイル データ 通信を使って、
softwareupdate — fetch -full-installer
Applebotによってクロールされた データ は、Spotlight、Siri、SafariといったAppleのエコシステムの多くのユーザ体験に組み込まれた検索テクノロジーをはじめとするさまざまな機能を強化するために使用されます。robots.txtでApplebotを有効にすると、世界中のこれらの製品のAppleユーザの検索結果にWebサイトのコンテンツを表示できます。...
またはダウンロードすると、任意のコードが実行される可能性があります。 CVE-ID CVE-2011-0175:Mozilla の Christoph Diehl 氏、Google Security Team の Felix Grobert 氏、Red Hat Security Response Team の Marc Schoenefeld 氏、Google Security Team の Tavis Ormandy 氏および Will Drewry 氏 ATS 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性がある。 説明:Type 1 フォントの処理には、バッファオーバーフローの原因となる問題が複数あります。このため、悪意を持って作成されたフォントが埋め込まれている文書を表示またはダウンロードすると、任意のコードが実行される可能性があります。 CVE-ID CVE-2011-0176...
NewLine; アドレスブック 対象となるバージョン:OS X Lion v10.7 から v10.7.2、OS X Lion Server v10.7 から v10.7.2 影響:特権のあるネットワークポジションを使用する攻撃者が CardDAV データ を傍受する可能性がある。 説明:アドレスブックは、CardDAV へのアクセスの際に SSL (Secure Sockets Layer) をサポートしています。ダウングレードの問題により、アドレスブックで暗号化接続に失敗すると、非暗号化接続が試行されます。特権のあるネットワークポジションを使用する攻撃者が、この動作を悪用して CardDAV データ を傍受する可能性があります。この問題は、ユーザの承認なしに非暗号化接続にダウングレードしないようにすることで解決されています。 CVE-ID CVE-2011-3444:Oracle Corporation の Bernard...
Meltdown は、CVE-2017-5754 (「rogue data cache load」) として知られる脆弱性に付けられた名称です。Meltdown が悪用されると、ユーザプロセスからカーネルメモリが読み取られる可能性があります。Apple の解析によれば、この脆弱性は悪用される可能性が最も高いことが判明しています。Apple では、iOS 11.2、macOS 10.13.2、tvOS 11.2、さらに macOS Sierra 向けセキュリティアップデート 2018-001 と OS X El Capitan 向けセキュリティアップデート 2018-001 において、Meltdown の影響緩和策をすでにリリースしています。watchOS には影響緩和策は必要ありません。...
影響:アプリが機微なユーザ データ にアクセスできる可能性がある。
説明: javascript core での関数の処理時に、配列のインデックス指定に問題がありました。この問題は、チェックを改善することで解決されました。
説明: javascript core での関数の処理時に、配列のインデックス指定に問題がありました。この問題は、チェックを改善することで解決されました。
影響:悪意のある Web サイトが、明らかなユーザ操作がなくても、Safari で自動補完された データ を密かに抽出できる可能性がある。
softwareupdate -- fetch -full installer
Impact: Decompressing maliciously crafted data may lead to an unexpected application termination
説明:Web サイトが「アプリケーションと安全でないファイルの起動」設定が「有効」に設定された Internet Explorer 7 ゾーン内にあるか、Internet Explorer 6 の「ローカルイントラネット」または「信頼済みサイト」ゾーンにある場合、Safari はサイトからダウンロードされた実行可能ファイルを自動的に起動します。このアップデートでは、ダウンロードされた実行可能ファイルを自動的に起動せず、「常に確認する」設定が有効になっている場合はファイルをダウンロードする前にユーザに確認することによって、問題が解消されています。この問題は、Mac OS X を搭載しているシステムでは発生しません。この問題の報告は、CERT/CC の Will Dormann 氏の功績によるものです。この問題に対処するため Microsoft Security Response Center に協力いただいたことに感謝します。...
説明: javascript core での関数の処理時に、配列のインデックス指定に問題がありました。この問題は、チェックを強化することで解決されました。
説明:ファイルウィジェットが、キャッシュされている データ をロック時に表示していました。この問題は、ステート管理を改善することで解決されました。
影響:悪意のある Web サイトにアクセスすると、別の Web サイトの画像 データ が開示される可能性がある。
CVE-2017-2389:Tencent Security Response Center (TSRC) の ShenYeYinJiu 氏
説明:ディレクトリの内容を一覧表示するときに、CoreFoundation で 1 バイトバッファオーバーフローが発生する可能性があります。攻撃者は、悪意を持って作成されたディレクトリ階層を読み取るようユーザを誘導することで、アプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性があります。このアップデートでは、宛先バッファのサイズを大きくして大量の データ を処理できるようにすることで問題が解消されています。...
影響:悪意を持って作成された Web サイトにアクセスすると、重要な データ が漏洩する可能性がある。
説明:信頼されていない Exchange サーバ証明書が受け入れられると、ホスト名ごとに例外が保存されます。例外リストに含まれている Exchange サーバに次回アクセスしたときに、入力を求められたり、検証が行われたりすることなく、その証明書が受け入れられます。これにより、資格情報やアプリケーション データ が漏洩する可能性があります。このアップデートでは、信頼されていない証明書に関する例外の処理を改善することで、この問題が解消されています。この問題の報告は、Securus Global の FD 氏の功績によるものです。...
影響:悪意を持って作成された Web サイトにアクセスすると、重要な データ が漏洩する可能性がある。
影響:悪意を持って作成された Web サイトにアクセスすると、重要な データ が漏洩する可能性がある。
説明:画像ファイルは、一度ダウンロードされるとユーザへの警告なしに Safari で表示される「安全な」ファイルタイプです。Safari の問題により、特定のローカルイメージのファイルタイプを識別できない場合があります。この場合、Safari はこれらのファイルの内容を確認し、HTML として処理する可能性があります。ファイルに JavaScript が含まれている場合は、ローカルコンテキスト内で実行されます。ダウンロードされたファイルでは、最初にユーザに確認することなく JavaScript が実行されるべきではありません。この問題は、不明なファイルタイプを一般的なバイナリ データ として処理し、この問題が確認されている画像ファイルタイプを正しく認識することで解決されています。この問題の報告は、Recurity Labs GmbH の Sergio 'shadown' Alvarez 氏の功績によるものです。...
しています。Spectre は、投機的実行を悪用する一連の脆弱性の総称で、ARM ベースの CPU や Intel 製の CPU を搭載したデバイスがその影響を受けます。Intel は、Spectre と同種の新たな脆弱性として、Microarchitectural Data Sampling (MDS) と呼ばれる脆弱性の存在を明らかにしました。Intel CPU を搭載したデスクトップコンピュータやラップトップコンピュータへの影響が懸念され、最近の Mac コンピュータもすべて該当します。...
影響:部分的に読み込まれた画像から、 データ をクロスオリジンで取得される可能性がある。
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする