認証局 CNNIC が中間証明書を不正に発行していたことが発覚しました。この件に対する措置として、一部の証明書のみを信頼する形で、CA を部分的に信頼する仕組みを追加しました。
影響:ロックダウンモードが有効になっているMacで、ファイルの URL から開いたWebコンテンツが、制限対象のWeb API を使用できる可能性がある。
影響:ロックダウンモードが有効になっているMacで、ファイルの URL から開いたWebコンテンツが、制限対象のWeb API を使用できる可能性がある。
組織は、ネットワーク機能拡張の新しい URL フィルタリング API を利用して、システム全体で包括的かつプライバシーに配慮した URL フィルタリングソリューションを提供できます。
AppleのCertificate Transparencyログプログラムにstatic-ct- api C2SP仕様に準拠したログ(ログサーバ)を登録申請するには、以下の条件を満たしている必要があります。
組織は、ネットワーク機能拡張の新しい URL フィルタリング API を利用して、システム全体で包括的かつプライバシーに配慮した URL フィルタリングソリューションを提供できます。
組織は、ネットワーク機能拡張の新しい URL フィルタリング API を利用して、システム全体で包括的かつプライバシーに配慮した URL フィルタリングソリューションを提供できます。
Mac用Final Cut Proの最新および過去のアップデートについて説明します。
リクエストヘッダに関する問題がありました。リダイレクト応答で送信された HTTP リクエストヘッダが、別の生成元に引き渡される可能性がありました。この問題は、リダイレクト処理を改善することで解決されました。 CVE-ID CVE-2015-1091:Diego Torres 氏 (http://dtorres.me) CFURL 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。 説明: URL の処理に、入力検証の脆弱性が存在します。この問題は、 URL の検証を強化することで解決されました。 CVE-ID CVE-2015-1088 Foundation 対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 影響:NSXMLParser を使うアプリケーションが誤用され、情報が開示される可能性がある。 説明:NSXMLParser による XML の処理に、XML 外部...
ATS 対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1 影響:ATSFontDeactivate API を使うアプリケーションが突然終了したり、任意のコードが実行される可能性がある。 説明:ATSFontDeactivate API にバッファオーバーフローの問題があります。 CVE-ID CVE-2011-0230:Mozilla の Steven Michaud 氏 BIND 対象となるバージョン:OS X Lion v10.7 および v10.7.1、OS X Lion Server v10.7 および v10.7.1 影響:BIND 9.7.3 に複数の脆弱性がある。 &NewLine...
説明: URL の解析に脆弱性が存在します。入力検証を強化し、この脆弱性に対処しました。
説明: URL の解析に脆弱性が存在します。入力検証を強化し、この脆弱性に対処しました。
説明: URL の解析に脆弱性が存在します。入力検証を強化し、この脆弱性に対処しました。
OS X のトラストストアには、OS X にインストール済みの信頼されたルート証明書が保存されています。
Server v10.6 ~ v10.6.6 影響:コマンドライン bzip2 または bunzip2 ツールを使って bzip2 ファイルを解凍すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。 説明:bzip2 による bzip2 圧縮ファイルの処理に、整数オーバーフローの脆弱性が存在します。このため、コマンドライン bzip2 または bunzip2 ツールを使って bzip2 ファイルを解凍すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。 CVE-ID CVE-2010-0405 CarbonCore 対象となるバージョン:Mac OS X v10.6 ~ v10.6.6、Mac OS X Server v10.6 ~ v10.6.6 影響:FSFindFolder() を使うアプリケーションで、kTemporaryFolderType フラグを指定すると、ローカルで情報が漏洩する可能性がある。 説明:FSFindFolder() API で kTemporaryFolderType フラグを指定すると、全ユーザに読み取り...
HTTPS優先”にすると、HTTPSを使用できる場合は常に URL がHTTPSに切り替わります
説明:証明書信頼ポリシーにエラー処理の問題があります。EV 証明書 (Extended Validation Certificate) に OCSP URL が含まれず CRL チェックが有効の場合、CRL チェックは実行されず、失効した証明書が有効として受け入れられる場合がある。この問題は、ほとんどの EV 証明書で OCSP URL が指定されていることにより軽減されています。...
iOS のトラストストアには、iOS にインストール済みの信頼されたルート証明書が保存されています。
影響:悪意を持って作成された URL が難読化されていて、フィッシング攻撃がより巧妙に行われる可能性がある。
説明:CFNetwork の URL 処理コードにスタックオーバーフローが存在しています。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は、メモリ処理を強化することによって解消されました。この問題の報告は TEHTRI-Security の Laurent OUDOT 氏の功績によるものです。...
影響:悪意を持って作成された URL にアクセスすると、任意のコードを実行される可能性がある。
CVE-2014-1368:Keen Team (Keen Cloud Tech のリサーチチーム) の Wushi 氏
説明:WebObjects には、WOHyperlink ダイナミックエレメントを通じて、HTML 文書に URL を生成する API が備わっています。WOHyperlink を使うと、絶対 URL を含め、 URL の生成時に常にセッション ID が追加されます。WOHyperlink を使って、別の Web サイトを示す URL を作成すると、現在のユーザのセッション ID が Web サイトに公開される場合があります。このアップデートでは、明示的に命令した場合にのみ、絶対 URL にセッション ID が追加されるようにすることによって、この問題が解消されています。...
説明:メールで facetime-audio:// URL が起動される前に、ユーザ確認が実施されていませんでした。この問題は、確認メッセージを追加することで解消されています。
説明:Safari から iTunes Store にリダイレクトされた URL の処理に問題が存在し、悪意のある Web サイトが Safari のサンドボックスの制限を回避できる可能性がありました。この問題は、iTunes Store で開かれた URL のフィルタリングを強化することで解決されました。...
説明: URL の処理に、入力検証の脆弱性が存在します。この問題は、 URL の検証を強化することで解決されました。
説明:デフォルトの Apache 構成で mod_hfs_apple がインクルードされていませんでした。Apache が手動で有効にされ、構成が変更されていない場合、アクセスできないはずの一部のファイルに、悪意を持って作成された URL を介してアクセスされる可能性がありました。この問題は、mod_hfs_apple を有効にすることで解決されました。...
説明:特定の状況では、アプリケーションやシステムによってバンドルが暗黙のうちに登録されることがあります。バンドルが登録されると、クライアントアプリケーションが明示的に要求しなくても、バンドル API の機能によってダイナミックライブラリが読み込まれて実行されます。その結果、ユーザが明示的に操作しなくても、信頼できないバンドルから任意のコードが実行される可能性があります。このアップデートでは、適切なタイミングでのみバンドルからライブラリを読み込んで実行することによって問題が解消されています。...
説明:特権のある API コールにアクセス関連の脆弱性がありました。この問題は、制限を追加で設けることで解決されました。
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする