CVE-2011-0198:Harry Sintonen 氏、Red Hat Security Response Team の Marc Schoenefeld 氏
This document describes the security content of Security Update 2009-003 / Mac OS X v10.5.8, which can be downloaded and installed via Software Update preferences, or from Apple Downloads....
説明:iTunes Digital Audio Access Protocol (DAAP) メッセージの処理で無限ループが発生します。悪意を持って作成された Content - Length パラメータを DAAP ヘッダに含むメッセージを送信すると、サービス運用妨害になる可能性があります。このアップデートでは、DAAP メッセージの検証を強化することで問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、Fortinet の FortiGuard Global Security Research Team の Xiaopeng Zhang 氏、Zhenhua Liu 氏、Junfeng Jia 氏の功績によるものです。...
説明:Safari の HTTP Content -Disposition ヘッダの「attachment」値に対するサポートに問題が存在します。このヘッダは、多くの Web サイトで第三者によってアップロードされたファイルを提供するために使用されています (Web ベースの電子メールアプリケーションにおける添付ファイルなど)。このヘッダ値を使用して提供されるファイルのスクリプトは、ファイルがインラインで提供されたかのように実行され、オリジンサーバのその他のリソースへのフルアクセスを持ちます。この問題は、ヘッダと共に提供されるリソースをインラインで表示するのではなく、ダウンロードすることで解消されています。...
説明:メールによる添付ファイルの処理に、ロジックの問題が存在します。後から届いたメールの添付ファイルの Content -ID が前のメールと同じ場合、2 通のメールの送信者が違う場合でも、前に届いた方の添付ファイルが表示されます。そのせいで、スプーフィングやフィッシング攻撃を受けやすくなります。この問題は、添付ファイルの処理を改善することで解決されました。...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする