OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006 のセキュリティコンテンツについて
OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006
Apache
対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4
影響:Apache 2.4.16 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、サービス拒否が引き起こされる可能性がある。
説明:2.4.16 より前のバージョンの Apache に複数の脆弱性が存在します。この問題は Apache を 2.4.16 にアップデートすることで解決されました。
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4
影響:PHP 5.5.20 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。
説明:5.5.20 より前のバージョンの PHP に複数の脆弱性が存在します。この問題は Apache を 5.5.27 にアップデートすることで解決されました。
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple ID OD プラグイン
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、ローカルユーザのパスワードを変更できる可能性がある。
説明:特定の状況で、パスワード認証にステータス管理の問題が存在します。この問題はステータス管理を改善したことで解決されました。
CVE-ID
CVE-2015-3799:HP の Zero Day Initiative に協力する匿名の研究者
AppleGraphicsControl
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。
説明:AppleGraphicsControl に脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性がありました。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-5768:KeenTeam の JieTao Yang 氏
Bluetooth
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:IOBluetoothHCIController にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3779:Facebook Security の Teddy Reed 氏
Bluetooth
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。
説明:メモリ管理に脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性があります。この問題はメモリ管理を改善することで解決されました。
CVE-ID
CVE-2015-3780:Emaze Networks の Roberto Paleari 氏および Aristide Fattori 氏
Bluetooth
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のある App が、ほかの iCloud デバイスから通知にアクセスできる可能性がある。
説明:悪意のある App が、Bluetooth とペアリングされている Mac または iOS デバイスの通知センターの通知に Apple 通知センターサービス経由でアクセスできる可能性があります。この問題は、Handoff 機能を使っているデバイス、または同じ iCloud アカウントにログインしているデバイスで発生します。この問題は、Apple 通知センターサービスへのアクセスを無効にすることで解決されました。
CVE-ID
CVE-2015-3786:Xiaolong Bai 氏 (清華大学)、System Security Lab (インディアナ大学)、Tongxin Li 氏 (北京大学)、XiaoFeng Wang 氏 (インディアナ大学)
Bluetooth
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ネットワーク上で特権的な地位を悪用した攻撃者が、悪意のある Bluetooth パケットを使って拒否攻撃を実行できる可能性がある。
説明:Bluetooth ACL パケットの解析に入力検証の問題があります。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-3787:Trend Micro
Bluetooth
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:blued による XPC メッセージの処理に、複数のバッファオーバーフローの問題が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-3777:[PDX] の mitp0sh 氏
Bootp
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のある Wi-Fi ネットワークによって、デバイスが過去にアクセスしたネットワークを特定される可能性がある。
説明:Wi-Fi ネットワークに接続したときに、iOS は、DNAv4 プロトコルを通じて過去にアクセスした MAC アドレスをブロードキャストします。この問題は、暗号化されていない Wi-Fi ネットワークで DNAv4 を無効にすることで解決されました。
CVE-ID
CVE-2015-3778:オックスフォード大学 Oxford Internet Institute (EPSRC Being There プロジェクト) の Piers O'Hanlon 氏
CloudKit
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、以前サインインしたユーザの iCloud ユーザレコードにアクセスできる可能性がある。
説明:CloudKit で、ユーザがサインアウトする際、ステータス不一致の脆弱性が存在します。この問題は、ステータス処理を改善することで解決されました。
CVE-ID
CVE-2015-3782:トロント大学の Deepkanwal Plaha 氏
CoreMedia の再生
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。
説明:CoreMedia の再生にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-5777:Apple
CVE-2015-5778:Apple
CoreText
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-5761:John Villamil (@day6reak) 氏、Yahoo Pentest Team
CoreText
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-5755:John Villamil (@day6reak) 氏、Yahoo Pentest Team
curl
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:7.38.0 より前の cURL と libcurl に複数の脆弱性が存在し、この脆弱性に起因する問題として、リモート攻撃者が同一生成元ポリシーをバイパスできる可能性がある。
説明:7.38.0 より前のバージョンの cURL と libcurl に複数の脆弱性が存在します。この問題は cURL を 7.43.0 にアップデートすることで解決されました。
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:連続した Unicode 文字列を処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Unicode 文字の処理にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-5750:Safeye Team (www.safeye.org) の M1x7e1 氏
システム環境設定の「日付と時刻」パネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:システム時間に依存するアプリケーションで予期しない動作が生じることがある。
説明:システム環境設定の「日付と時刻」の変更操作における認証チェックに脆弱性が存在します。この問題は、認証チェックを追加することで解決されました。
CVE-ID
CVE-2015-3757:Mark S C Smith 氏
辞書アプリケーション
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ネットワーク上で特権的な地位を悪用した攻撃者が、ユーザの辞書 App の検索クエリを傍受できる可能性がある。
説明:辞書 App の脆弱性が原因で、ユーザ通信が安全に保護されない可能性があります。この問題は、クエリを HTTPS に移動することで解決されています。
CVE-ID
CVE-2015-3774:EEQJ の Jeffrey Paul 氏、Google Security Team の Jan Bee 氏
DiskImages
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された DMG ファイルを処理すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。
説明:悪意のある DMG 画像の解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3800:Yahoo Pentest Team の Frank Graziano 氏
dyld
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:dyld にパス検証の問題が存在します。この問題は環境のサニタイズ処理を改善したことで解決されました。
CVE-ID
CVE-2015-3760:beist of grayhash 氏、Stefan Esser 氏
FontParser
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-3804:Apple
CVE-2015-5775:Apple
FontParser
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたフォントファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-5756:John Villamil (@day6reak) 氏、Yahoo Pentest Team
Groff
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:pdfroff に複数の問題が存在する。
説明:pdfroff における複数の脆弱性が原因で、もっとも深刻な場合は、任意のファイルシステムが変更される可能性があります。この問題は pdfroff を削除することによって解決されています。
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された TIFF 画像を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:TIFF 画像の処理にメモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-5758:Apple
ImageIO
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された Web サイトにアクセスすると、プロセスメモリが漏洩する可能性がある。
説明:ImageIO の PNG 画像と TIFF 画像の処理に脆弱性が存在し、これを悪用されると、初期化されていないメモリにアクセスされる可能性があります。悪意を持って作成された Web サイトにアクセスすると、プロセスメモリのデータが Web サイトに送信される可能性があります。この問題は、メモリ初期化処理を改良し、PNG 画像と TIFF 画像の検証を強化することによって解決されています。
CVE-ID
CVE-2015-5781:Michal Zalewski 氏
CVE-2015-5782:Michal Zalewski 氏
Install Framework Legacy
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションに root 権限を取得され、任意のコードを実行される可能性がある。
説明:Install.framework の「runner」バイナリによる権限のドロップ方法に脆弱性が存在します。この問題は、権限管理を改善することで解決されました。
CVE-ID
CVE-2015-5784:Google Project Zero の Ian Beer 氏
Install Framework Legacy
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:Install.framework の「runner」バイナリに競合状態の脆弱性が存在し、権限がドロップされる可能性があります。この問題は、オブジェクトのロック機構を強化することで解決されました。
CVE-ID
CVE-2015-5754:Google Project Zero の Ian Beer 氏
IOFireWireFamily
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:IOFireWireFamily にメモリ破損の脆弱性が存在します。この問題は、入力検証を追加することで解決されました。
CVE-ID
CVE-2015-3769:Ilja van Sprundel 氏
CVE-2015-3771:Ilja van Sprundel 氏
CVE-2015-3772:Ilja van Sprundel 氏
IOGraphics
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:IOGraphics にメモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-3770:Ilja van Sprundel 氏
CVE-2015-5783:Ilja van Sprundel 氏
IOHIDFamily
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:IOHIDFamily にバッファオーバーフローの脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-5774:TaiG Jailbreak Team
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。
説明:mach_port_space_info インターフェイスに脆弱性が存在し、これを悪用されると、カーネルメモリのレイアウトが漏洩する可能性があります。この問題は、mach_port_space_info インターフェイスを無効にすることで解決されました。
CVE-ID
CVE-2015-3766:Alibaba Mobile Security Team の Cererdlong 氏、@PanguTeam
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:IOKit 関数の処理に、整数オーバーフローの脆弱性が存在します。この問題は、IOKit API 引数の検証を強化することで解決されました。
CVE-ID
CVE-2015-3768:Ilja van Sprundel 氏
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザから、システムのサービス運用妨害を受ける可能性がある。
説明:fasttrap ドライバのリソースが枯渇する問題があります。この問題は、メモリ処理を改善したことで解決されました。
CVE-ID
CVE-2015-5747:m00nbsd の Maxime VILLARD 氏
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザから、システムのサービス運用妨害を受ける可能性がある。
説明:HFS ボリュームをマウントする際、検証の脆弱性が存在します。この問題はチェック事項を追加することで解決されました。
CVE-ID
CVE-2015-5748:m00nbsd の Maxime VILLARD 氏
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションによって、署名のないコードが実行される可能性がある。
説明:巧妙に細工された実行可能ファイルによって、署名のないコードが署名済みのコードに付加される可能性があります。この問題は、コード署名の検証を強化することで解決されました。
CVE-ID
CVE-2015-3806:TaiG Jailbreak Team
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:巧妙に細工された実行可能ファイルによって、署名のない悪意のあるコードが実行できるようになる可能性がある。
説明:多層アーキテクチャの実行可能ファイルの評価に脆弱性が存在し、これを悪用されると、署名のないコードの実行が許可される可能性があります。この問題は、実行可能ファイルの検証を強化することで解決されました。
CVE-ID
CVE-2015-3803:TaiG Jailbreak Team
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザが署名されていないコードを実行する可能性がある。
説明:Mach-O ファイルの処理に、検証の脆弱性が存在します。この問題はチェック事項を追加することで解決されました。
CVE-ID
CVE-2015-3802:TaiG Jailbreak Team
CVE-2015-3805:TaiG Jailbreak Team
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された plist を解析すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。
説明:悪意のある plist の処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3776:Facebook Security の Teddy Reed 氏、Jinx Germany の Patrick Stein (@jollyjinx) 氏
カーネル
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:パス検証の問題が存在します。この問題は環境のサニタイズ処理を改善したことで解決されました。
CVE-ID
CVE-2015-3761:Apple
Libc
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された正規表現を処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:TRE ライブラリにメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-3796:Google Project Zero の Ian Beer 氏
CVE-2015-3797:Google Project Zero の Ian Beer 氏
CVE-2015-3798:Google Project Zero の Ian Beer 氏
Libinfo
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:AF_INET6 ソケットの処理にメモリ破損の脆弱性が存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-5776:Apple
libpthread
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:syscall の処理にメモリ破損の脆弱性が存在します。この問題は、ロック状態のチェックを強化したことで解決されました。
CVE-ID
CVE-2015-5757:Qihoo 360 の Lufeng Li 氏
libxml2
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:2.9.2 より前のバージョンの libxml2 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、リモート攻撃者によってサービス拒否が引き起こされる可能性がある。
説明:2.9.2 より前のバージョンの libxml2 に複数の脆弱性が存在します。この問題は libxml2 を 2.9.2 にアップデートすることで解決されました。
CVE-ID
CVE-2012-6685:Google の Felix Groebert 氏
CVE-2014-0191:Google の Felix Groebert 氏
libxml2
対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
説明:libxml2 にメモリアクセスの脆弱性が存在します。この問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2014-3660:Google の Felix Groebert 氏
libxml2
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された XML ドキュメントを解析すると、ユーザ情報が漏洩する可能性がある。
説明:XML の解析にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3807:Apple
libxpc
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:悪意のある XPC メッセージの処理にメモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-3795:Mathew Rowley 氏
mail_cmds
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザが任意のシェルコマンドを実行できる可能性がある。
説明:mailx のメールアドレスの解析に、検証の脆弱性が存在します。この問題はサニタイズ処理を改善したことで解決されました。
CVE-ID
CVE-2014-7844
OSX の通知センター
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意のあるアプリケーションが、ユーザが以前表示したすべての通知にアクセスできる可能性がある。
説明:通知センターの脆弱性が原因で、ユーザ通知が適切に削除されない問題があります。この問題は、ユーザが消去した通知を正しく削除することで解決されています。
CVE-ID
CVE-2015-3764:Jonathan Zdziarski 氏
ntfs
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。
説明:NTFS にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-5763:Emaze Networks の Roberto Paleari 氏および Aristide Fattori 氏
OpenSSH
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:リモート攻撃者が、ログイン試行に失敗した後の待機時間を回避し、総当たり攻撃を実行できる可能性がある。
説明:キーボード対話型認証を行うデバイスの処理に脆弱性が存在します。この問題は、認証要求の検証を強化することで解決されました。
CVE-ID
CVE-2015-5600
OpenSSL
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:0.9.8zg より前のバージョンの OpenSSL に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、リモート攻撃者によってサービス拒否が引き起こされる可能性がある。
説明:0.9.8zg より前のバージョンの OpenSSL に複数の脆弱性が存在します。これらの問題は、OpenSSL をバージョン 0.9.8zg にアップデートすることで解決されました。
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された正規表現を解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Perl の正規表現の解析に、整数オーバーフローの問題が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2013-7422
PostgreSQL
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:攻撃者がアプリケーションを突然終了させたり、適切な認証を受けずにデータにアクセスできる可能性がある。
説明:PostgreSQL 9.2.4 に複数の脆弱性が存在します。この問題は、PostgreSQL を 9.2.13 にアップデートすることで解決されました。
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:Python 2.7.6 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。
説明:2.7.6 より前のバージョンの Python に複数の脆弱性が存在します。この問題は、Python を 2.7.10 にアップデートすることで解決されました。
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された Office ドキュメントを解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Office ドキュメントの処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-5773:Apple
QL Office
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された XML ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:XML ファイルの解析に、外部エンティティの処理の問題が存在します。この問題は、解析を強化することで解決されました。
CVE-ID
CVE-2015-3784:INTEGRITY S.A. の Bruno Morisson 氏
Quartz Composer Framework
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された QuickTime ファイルを解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:QuickTime ファイルの解析にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-5771:Apple
クイックルック
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:以前表示した Web サイトを検索すると、Web ブラウザが起動され、その Web サイトがレンダリングされる可能性がある。
説明:QuickLook で JavaScript が実行される問題があります。この問題は、JavaScript の実行を禁止することで解決されています。
CVE-ID
CVE-2015-3781:Facebook の Andrew Pouliot 氏、Qubole の Anto Loyola 氏
QuickTime 7
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたファイルを処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:QuickTime にメモリ破損の脆弱性が複数存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753:Apple
CVE-2015-5779:Apple
QuickTime 7
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたファイルを処理すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:QuickTime にメモリ破損の脆弱性が複数存在します。これらの問題はメモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-3765:Audio Poison の Joe Burnett 氏
CVE-2015-3788:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏
CVE-2015-3789:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏
CVE-2015-3790:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏
CVE-2015-3791:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏
CVE-2015-3792:Cisco Talos の Ryan Pentney 氏および Richard Johnson 氏
CVE-2015-5751:WalkerFuz 氏
SceneKit
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された Collada ファイルを表示すると、任意のコードが実行される可能性がある。
説明:SceneKit による Collada の処理に、ヒープバッファオーバーフローの脆弱性が存在します。この問題は、入力検証を強化することで解決されました。
CVE-ID
CVE-2015-5772:Apple
SceneKit
対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 ~ v10.10.4
影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:SceneKit にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3783:Google Security Team の Haris Andrianakis 氏
セキュリティ
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:通常ユーザが適切な認証を受けずに管理者権限にアクセスできる可能性がある。
説明:ユーザ認証の処理に脆弱性が存在します。この問題は、認証チェックを強化することで解決されました。
CVE-ID
CVE-2015-3775:[Eldon Ahrold 氏]
SMBClient
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:SMB クライアントにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3773:Ilja van Sprundel 氏
読み上げ UI
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:音声による警告を有効にした状態で、悪意を持って作成された Unicode 文字列を解析すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。
説明:Unicode 文字列の処理にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3794:Refinitive の Adam Greenbaum 氏
sudo
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:1.7.10p9 より前のバージョンの sudo に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、攻撃者が任意のファイルにアクセスできる可能性がある。
説明:1.7.10p9 より前のバージョンの sudo に複数の脆弱性が存在します。この問題は、sudo をバージョン 1.7.10p9 にアップデートすることで解決されました。
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:tcpdump 4.7.3 に複数の脆弱性が存在し、これらの脆弱性に起因するもっとも重大な問題として、サービス拒否が引き起こされる可能性がある。
説明:4.7.3 より前のバージョンの tcpdump に複数の脆弱性が存在します。この問題は、tcpdump を 4.7.3 にアップデートすることで解決されました。
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
テキストフォーマット
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成されたテキストファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:テキストエディットの解析に、XML 外部エンティティの参照に関する問題が存在します。この問題は、解析を強化することで解決されました。
CVE-ID
CVE-2015-3762:Evernote Security Team の Xiaoyong Wu 氏
UDF
対象 OS:OS X Yosemite v10.10 〜 v10.10.4
影響:悪意を持って作成された DMG ファイルを処理すると、アプリケーションが突然終了したり、システム権限を取得して、任意のコードを実行できるようになる可能性がある。
説明:悪意のある DMG 画像の解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-3767:beist of grayhash 氏
OS X Yosemite v10.10.5 には、Safari 8.0.8 のセキュリティコンテンツが含まれています。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。