Mac OS X v10.6.4 のセキュリティアップデート

About the security content of Security Update 2010-004 / Mac OS X v10.6.4

http://support.apple.com/kb/HT4188

上記 URL の Mac OS X のセキュリティアップデートの翻訳

1) CUPS
　CUPS Web インターフェイスにおいてクロスサイトリクエストフォージェリが存在することが原因で、細工された Web サイトを閲覧することで、CUPS 設定を変更することができる脆弱性。(CVE-2010-0540)

2) CUPS
　CUPS のデーモンにおいて解放済をメモリ使用することが原因で、細工された get-printer-jobs 要求を使用されることでサービス不能状態を引き起こされる脆弱性。(CVE-2010-0302)

3) CUPS
　CUPS Web インターフェースにおける変数を取り扱う際に初期化していないメモリを読み込むことが原因で、CUPS のデーモンから制限されたメモリを読み込まれてしまう脆弱性。(CVE-2010-1748)

4) DesktopServices
　ファインダの "Get Info" ウィンドウから "Apply to enclosed items ..." が選択された時に、含まれているアイテムの所有権を変更していないことが原因で、含まれたファイル及びフォルダに不測の所有権が設定される脆弱性。(CVE-2010-0545)

5) Flash Player plug-in
　Adobe Flash Player plug-in の複数の欠陥が原因で、認証されていない２つのドメンン要求を導く脆弱性。(CVE-2010-0186, CVE-2010-0187)

6) Folder Manager
　Folder Manager のシンボリックリンクに関する欠陥が原因で、"Cleanup At Startup" というフォルダがアンマウントされて削除される脆弱性。(CVE-2010-0546)

7) Help Viewer
　Help Viewer の help: URL の取り扱いにおける欠陥が原因で、クロスサイトスクリプティング攻撃を受ける脆弱性。(CVE-2010-1373)

8) iChat
　iChat のインライン画像転送における欠陥が原因で、ディレクトリトラバーサル攻撃を受ける脆弱性。(CVE-2010-1374)

9) ImageIO
　TIFF ファイルを取り扱う際に複数の整数オーバーフローが原因で、細工された TIFFファイルを開かせることでヒープオーバーフローが発生して任意のコードを実行される脆弱性。(CVE-2010-1411)

10) ImageIO
　MPEG2 エンコードされた動画ファイルを取り扱う際にメモリ破壊が発生することが原因で、アプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2010-0543)

11) Kerberos
　KDC サーバの crypto ライブラリの AES 及び RC4 暗号化処理において整数オーバーフローが原因で、KDC プロセスが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2010-4212)

12) Kerberos
　KDC プロセスの存在するチケットの更新または検証において二重解放が発生することが原因で、KDC プロセスが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2010-1320)

13) Kerberos
　KDC 要求の取り扱いにおける設計上の欠陥が原因で、Kerberos サービスに割り込まれる脆弱性。(CVE-2010-0283)

14) libcurl
　libcurl の gzip 圧縮されたコンテンツの取り扱いにおけるバッファオーバーフローが原因で、アプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2010-0734)

15) Network Authorization
　NetAuthAgent がある操作において承認を要求しないことが原因で、ローカルでシステム権限を取得される脆弱性。(CVE-2010-1375)

16) Network Authorization
　afp:、cifs: 及び smb: の URL の取り扱いにおいて形式文字列の欠陥が存在することが原因で、細工された Web サイトを閲覧することでアプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2010-1376)

17) Open Directory
　システム優先権を経由してネットワークアカウントサーバに接続するときに、Open Directory が SSL でサーバへの接続が不可能な場合に無防備にサーバへ自動的に接続を試みることが原因で、ネットワークアカウントサーバを装おう中間者攻撃を許し、システム権限で任意のコードを実行される脆弱性。(CVE-2010-1377)

18) Printer Setup
　Printer Setup の近傍プリンタを取り扱う際に文字エンコーディングの欠陥が存在することが原因で、サーバ名が Unicode であるプリントサービスを通知した場合にあるアプリケーションで印刷が失敗する脆弱性。(CVE-2010-1379)

19) Printing
　cgtexttops CUPS フィルタにおけるページサイズの計算で整数オーバーフローが発生することが原因で、プリンタへアクセスすることでアプリケーションが異常終了したり、任意のコードを実行される脆弱性。(CVE-2010-1380)

20) Ruby
　Ruby WEBrick HTTP サーバのエラーページの取り扱いにおいてクロスサイトスクリプティングの欠陥が存在することが原因で、細工された Web サイトを閲覧することで JavaScript を挿入される脆弱性。(CVE-2010-0541)

21) SMB File Server
　Apple が提供する Samba に設定の欠陥が存在することが原因で、シンボリックリンクを用いていると、任意のファイルに承認なしにアクセスを許す脆弱性。(CVE-2010-1381)

22) SquirreMail
　SquirreMail に関する脆弱性。
(CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-2964)

23) Wiki Server
　Wiki Server がユーザ要求へ応答する HTML ドキュメントにおいて明白な character set を示さないことが原因で、異なる character set でエンコードされたスクリプトを含むコンテンツを Wiki Server に投稿またはコメントされる脆弱性。(CVE-2010-1382)