| コメント » Appleが米国時間11日、今年初のMac OS X用セキュリティアップデート「Security Update 2008-001」をリリースしています。対象システムはMac OS X 10.4.11およびMac OS X 10.5 – 10.5.1で、ソフトウェアアップデート経由またはAppleのWebサイトから入手可能(Leopardに関連するパッチは「Mac OS X 10.5.2 Update」に含まれています)。ディレクトリーサービスやSLPデーモンの問題、Mail、ファイル/プリンタ共有アプリケーションのSamba、ターミナルなどの脆弱性が改善されており、Appleでは、すべてのユーザに対してSecurity Update 2008-001 を適用して、Mac OS X のセキュリティを強化することを推奨しています。
– Security Update 2008-001 (PPC) 16.7MB
– Security Update 2008-001 (Universal) 28.8MB
以下Appleがウェブ上で掲載しているMac OS X v10.5.2 / Security Update 2008-001の内容。
ディレクトリサービス
CVE-ID:CVE-2007-0355
対象:Mac OS X v10.4.11、Mac OS X Server v10.4.11
影響:ローカルユーザがシステムのアクセス権を使って任意のコードを実行できる。
説明:Service Location Protocol (SLP) デーモンでスタックバッファオーバーフローが発生することがあります。これにより、ローカルユーザがシステムのアクセス権を使って任意のコードを実行することができます。このアップデートでは、境界チェックを改善することによってこの問題に対応しました。この問題は、Month of Apple Bugs の Web サイト (MOAB-17-01-2007) で説明されています。この問題は Mac OS X v10.5 またはそれ以降を実行するシステムには影響しません。この問題は、Netragard の Kevin Finisterre 氏によって報告されました。
Foundation
CVE-ID:CVE-2008-0035
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:悪意のある URL を訪問すると、アプリケーションが終了したり、任意のコードが実行されたりする可能性がある。
説明:Safari で URL を処理すると、メモリ破損の問題が発生することがあります。攻撃者が悪意のある URL にユーザを誘導することで、アプリケーションが予期せず終了させられたり、任意のコードが実行されたりすることがあります。このアップデートでは、URL の追加の認証を実行することで問題を解決しました。この問題は、Mac OS X v10.5 より前のシステムには影響しません。
起動サービス
CVE-ID:CVE-2008-0038
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:システムからアプリケーションを削除しても、Time Machine のバックアップから起動されることがある。
説明:起動サービスは、アプリケーション、アプリケーションの書類ファイル、または URL を Finder または Dock と同様の方法で開く API です。ユーザは、システムからアプリケーションをアンインストールすれば、そのアプリケーションが起動されることはないものと考えます。しかし、アプリケーションがシステムからアンインストールされていても、Time Machine のバックアップに含まれているアプリケーションは、起動サービスによって起動される場合があります。このアップデートでは、Time Machine のバックアップから直接アプリケーションが起動されないようにすることで、この問題を解決しました。この問題は Mac OS X v10.5 より前のシステムには影響しません。この問題は Discovery Software Ltd. の Steven Fisher 氏および Ian Coutier 氏によって報告されました。
CVE-ID:CVE-2008-0039
対象:Mac OS X v10.4.11、Mac OS X Server v10.4.11
影響:メッセージ内の URL にアクセスすると、任意のコードが実行される可能性がある。
説明:Mail による file:// URL の処理に問題があるため、ユーザがメッセージ内の URL をクリックしたときに、警告が表示されずに任意のアプリケーションが起動されてしまう可能性があります。このアップデートでは、ファイルが起動されないようにし、ファイルの場所が Finder で表示されるようにすることで問題を解決しました。この問題は Mac OS X v10.5 またはそれ以降を実行するシステムには影響しません。
NFS
CVE-ID:CVE-2008-0040
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:システムを NFS クライアントまたはサーバとして使用している場合、リモートの攻撃者によって予期せずシステムが終了させられたり、任意のコードが実行されたりする可能性があります。
説明:NFS で mbuf チェーンを処理すると、メモリ破損の問題が発生することがあります。システムを NFS クライアントまたはサーバとして使用している場合、悪質な NFS サーバまたはクライアントによって予期せずシステムが終了させられたり、任意のコードが実行されたりする可能性があります。このアップデートでは mbuf チェーンの処理を改善することにより、この問題に対応しました。この問題は Mac OS X v10.5 より前のシステムには影響しません。この問題は Sun Microsystems 社の Oleg Drokin 氏によって報告されました。
オープンディレクトリ
対象:Mac OS X v10.4.11、Mac OS X v10.4.11 Server
影響:NTLM 認証要求が常に失敗する可能性がある。
説明:このアップデートでは、Mac OS X v10.4.11 で発生した非セキュリティ問題を解決しました。オープンディレクトリの Active Directory プラグインにおける競合状態により winbindd の動作が停止し、NTLM 認証が失敗する可能性があります。このアップデートでは、winbindd を停止させる競合状態を修正することで問題を解決しました。この問題は Active Directory を使用するように設定されている Mac OS X v10.4.11 システムのみに影響します。
ペアレンタルコントロール
CVE-ID:CVE-2008-0041
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:Web サイトのブロック解除要求により、情報が開示される。
説明:Web コンテンツの管理設定のときに Web サイトのブロックを解除すると、ペアレンタルコントロールによって www.apple.com との通信が実行されてしまいます。これにより、そのマシン上でペアレンタルコントロールが実行されていることを、リモートユーザが知る可能性があります。このアップデートでは、Web サイトのブロックが解除された場合の外部ネットワークへのトラフィックを取り除くことにより、この問題を解決しました。この問題は Mac OS X v10.5 より前のシステムには影響しません。この問題は Jesse Pearson 氏によって報告されました。
Samba
CVE-ID:CVE-2007-6015
対象:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:リモートの攻撃者によって予期せずアプリケーションが終了させられたり、任意のコードが実行されたりする可能性がある。
説明:Samba で特定の NetBIOS Name Service リクエストを処理する際、スタックバッファオーバーフローが発生する可能性があります。システムで「ドメインログオン」の許可が明示的に設定されている場合、リクエストの処理時に予期せずアプリケーションが終了させられたり、任意のコードが実行されたりする可能性があります。ドメインコントローラとして設定されている Mac OS X Server システムも影響を受けます。このアップデートでは、Samba パッチを適用することによって問題に対応しました。詳細については、Samba の Web サイト (http://www.samba.org/samba/history/security.html) を参照してください。この問題は、Secunia Research 社の Alin Rad 氏によって報告されました。
ターミナル
CVE-ID:CVE-2008-0042
対象:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:悪意的な Web サイトを表示すると、不正なコードが実行される。
説明:Terminal.app による URL スキームの処理で、入力認証の問題が発生することがあります。攻撃者が悪意のある Web ページにユーザを誘導することにより、コマンドライン引数を使ってアプリケーションを起動し、任意のコードを実行する可能性があります。このアップデートでは URL の認証を改善することにより、この問題を解決しました。この問題は、Digital Film Finland 社の Olli Leppanen 氏および Brian Mastenbrook 氏によって報告されました。
X11
CVE-ID:CVE-2007-4568
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:X11 X Font Server (XFS) 1.0.4 に複数の脆弱性がある。
説明:X11 X Font Server (XFS) に複数の脆弱性があります。最も重大な脆弱性により、任意のコードが実行される可能性があります。このアップデートでは、XFS バージョン 1.0.5 へのアップデートにより問題を解決しました。詳細については、X.Org の Web サイト (http://www.x.org/wiki/Development/Security) を参照してください。
X11
CVE-ID:CVE-2008-0037
対象:Mac OS X v10.5 および v10.5.1、Mac OS X Server v10.5 および v10.5.1
影響:環境設定の「セキュリティ」パネルで設定を変更しても、効果がない。
説明:X11 サーバで、環境設定の「ネットワーク・クライアントからの接続を許可」設定が正しく読み取られていません。このため、設定を解除しても X11 サーバによってネットワーククライアントからの接続が許可される可能性があります。このアップデートでは、X11 サーバの環境設定が正しく読み取られるようにすることで、問題を解決しました。この問題は、Mac OS X v10.5 より前のシステムには影響しません。
*スパム対策といたしまして、記事の投稿2週間後にコメント/トラックバックの受付を終了しています。
*基本的にお気軽に。自由にコメントをお寄せください!Apple/Mac/iOS関連の様々な情報をみんなでシェアしましょう!
*ただし、Tsugawa.TV の判断でスパムや不正な内容を含むコメントなどは削除させていただく場合がございます。また、その判断を一部自動化しているため、コメント投稿後サイト上に反映されるまで若干時間がかかる場合がございます。あらかじめご了承のうえコメントをお寄せください。
*投稿したコメントを削除したい場合はこちらからご連絡ください。速やかに対応いたします。
*掲載されているコメントの内容についての責任はサイト運営者にはございません。各自の責任でご判断ください。
*著作権絡み、他人の悪口やいやがらせ、プライバシーに関わるコメントなどはお控えください。コメントの匿名性は、民事上あるいは刑事上の責任を免ずるものではありませんので十分ご注意ください。当サイトのプライバシー・ポリシーも併せてご確認ください。
[PR] iPhone 15登場。あなたにぴったりのiPhoneは?
Apple, Mac, iPod, iPhone, iPad の最新ニュースはここでゲット!他には無いニュース満載です。
iPhone / iPod touch "Safari" 版 ポータルサイトはこちら
掲載記事へのリンクは自由です。どのページへも自由にリンクを張ってください。
Tsugawa.TV は次世代型 Web クリエイティブの創出および独立性や意義のある情報発信を第一に考えています。
Copyright & Design 2007 - 2024 Tsugawa.TV All Rights Reserved.
この記事への コメント & トラックバック
スパム対策といたしまして、記事の投稿2週間後にコメント/トラックバックの受付を終了しています。