Apple の Web サーバに潜むセキュリティ上の問題について報告してくださった方々に感謝し、その功績を称えるため、Apple ではこの記事を公開しています。脆弱性の特定と対処が終わった後で、ご協力いただいた方のお名前を追記します。
2023 年 7 月 24 日リリース Accessibility 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨 消し を改善することで、プライバシーの問題に対処しました。 CVE-2023-40442:Nick Brook 氏 2023 年 10 月 31 日に追加 Accounts 対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨 消し を改善することで、プライバシーの問題に対処しました。 CVE-2023-40439:Kirin 氏 (@Pwnrin) 2023 年 10 月 31 日に追加 Apple...
2023 年 7 月 24 日リリース Accounts 対象 OS:macOS Ventura 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨 消し を改善することで、プライバシーの問題に対処しました。 CVE-2023-40439:Kirin 氏 (@Pwnrin) 2023 年 12 月 21 日に追加 AMD 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。 CVE-2023-38616:ABC Research s.r.o. 2023 年 9 月 6 日に追加 Apple Neural Engine 対象 OS:macOS Ventura 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-34425:Ant Security Light-Year Lab の pattern-f 氏 (@pattern...
2023 年 9 月 18 日リリース Accessibility 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降 影響:デバイスに物理的にアクセスできる人物が、プライベートなカレンダー情報に VoiceOver を使ってアクセスできる可能性がある。 説明:機微情報の墨 消し を改善することで、この問題に対処しました。 CVE-2023-40529:Lakshmi Narain College Of Technology Bhopal の Abhay Kailasia 氏 (@abhay_kailasia) 2023 年 12 月 22 日に追加 AirMac 対象:iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代...
2023 年 9 月 26 日リリース AirMac 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:機微情報の墨 消し を改善することで、アクセス権の問題に対処しました。 CVE-2023-40384:Adam M. 氏 AMD 対象:Mac Studio (2022 年以降)、iMac (2019 年以降)、Mac Pro (2019 年以降)、Mac mini (2018 年以降)、MacBook Air (2018 年以降)、MacBook Pro (2018 年以降)、iMac Pro (2017) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。 CVE-2023-32377:ABC...
2023 年 7 月 24 日リリース Accessibility 対象:iPhone 6s (すべてのモデル)、iPhone 7 (すべてのモデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、iPod touch (第 7 世代) 影響:アプリが重要な位置情報を読み取れる可能性がある。 説明:ログエントリに対するプライバシーデータの墨 消し を改善することで、プライバシーの問題に対処しました。 CVE-2023-40442:Nick Brook 氏 2023 年 9 月 8 日に追加 Apple Neural Engine 対象となる Apple Neural Engine 搭載デバイス:iPhone 8 以降、iPad Pro (第 3 世代) 以降、iPad Air (第 3 世代) 以降、iPad mini (第 5 世代) 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-34425:Ant Security Light...
に対するプライバシーデータの墨 消し を改善することで、プライバシーの問題に対処しました。 CVE-2023-41065:Adam M. 氏、Noah Roskin-Frazee 氏、Jason Lau 教授 (ZeroClicks.ai Lab) CFNetwork 対象:Apple Watch Series 4 以降 影響:アプリが App Transport Security の適用に失敗する可能性がある。 説明:プロトコルの処理を改善することで、この問題に対処しました。 CVE-2023-38596:Trail of Bits の Will Brattain 氏 CoreAnimation 対象:Apple Watch Series 4 以降 影響:Web コンテンツを処理すると、サービス運用妨害を受ける可能性がある。 説明:メモリ処理を改善することで、この問題に対処しました。 CVE-2023-40420:Cross Republic の 이준성 (Junsung Lee) 氏 Core Data 対象:Apple Watch Series 4 以降 影響:アプリがプライバシーの環境設定を回避...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする