Mac OS X v10.7.3 のセキュリティアップデート

About the security content of OS X Lion v10.7.3 and Security Update 2012-001

http://support.apple.com/kb/HT5130

上記 URL の Mac OS X のセキュリティアップデートの翻訳

1) Address Book
　アドレス帳が暗号化通信に失敗した場合に暗号化なしの通信をすることが原因で、CardDAV データを遮断されて不正使用される脆弱性。(CVE-2011-3444)

2) Apache
　Apache 2.2.21 に存在する欠陥が原因で、サービス不能状態を引き起こされる脆弱性。(CVE-2011-3348)

3) Apache
　暗号鍵のセットが CBC モードにおけるブロックする暗号鍵を使用する際の SSL 3.0 及び TLS 1.0 への既知の攻撃を許す欠陥が原因で、"empty fragment" を無効にされる脆弱性。(CVE-2011-3389)

4) ATS
　ATS が FontBook によって開かれた時のデータ・フォントファイルの取り扱いにメモリ管理の欠陥が存在することが原因で、アプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3346)

5) CFNetwork
　CFNetwork が悪意のある URL を取り扱う際の欠陥が原因で、細工された URL にアクセスした時に OFNetwork が正しくないサーバにリクエストを送信することで機密情報を漏洩する脆弱性。(CVE-2011-3246)

6) CFNetwork
　CFNetwork が悪意のある URL を取り扱う際の欠陥が原因で、細工された URL にアクセスした時に OFNetwork が意味不明な要求ヘッダーを送信することで機密情報を漏洩する脆弱性。(CVE-2011-3447)

7) ColorSync
　埋め込み ColorSync プロファイルを持つ画像の取り扱いに整数オーバーフローが存在することが原因で、細工された画像を表示させることでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-0200)

8) CoreAudio
　AAC エンコードされた音声ストリームの取り扱いにバッファオーバーフローが存在することが原因で、細工された音声を再生することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3252)

9) CoreMedia
　H.264 エンコードされた動画ファイルの取り扱いにヒープオーバーフローが存在することが原因で、細工された動画ファイルを再生することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3448)

10) CoreText
　フォントファイルの取り扱いにおいて解放済みメモリを使用する欠陥が存在することが原因で、細工されたフォントを含んだドキュメントを表示したりダウンロードすることでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。
(CVE-2011-3449)

11) CoreUI
　長い URL の取り扱いにおいて境界なしでスタック確保する欠陥が存在することが原因で、細工された Web サイトを閲覧することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3450)

12) curl
　GSSAPI 認証をする際に libcurl が無条件に認証情報委任することが原因で、なりすまし攻撃を受ける脆弱性。(CVE-2011-2192)

13) Data Security
　信頼されたルート認証局のリストに２つの認証局は独立して DigiCert Malaysia に仲介認証している問題があり、DigiCert Malaysia は無効である弱い鍵での認証である問題があることが原因で、ユーザの資格または DigiCert Malaysia によって認証されたサイトを対象として重要な情報を遮断する脆弱性。

14) dovecot
　暗号鍵のセットが CBC モードにおけるブロックする暗号鍵を使用する際の SSL 3.0 及び TLS 1.0 への既知の攻撃を許す欠陥が原因で、"empty fragment" を無効にされる脆弱性。(CVE-2011-3389)

15) filecmds
　コマンドラインツールである "uncompress" にバッファオーバーフローの欠陥が存在することが原因で、細工された圧縮ファイルを解凍することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-2895)

16) ImageIO
　ImageIO が CCITT Group 4 エンコードされた TIFF ファイルを取り扱う際にバッファオーバフローが発生することが原因で、細工された TIFF ファイルを表示することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。
(CVE-2011-0241)

17) ImageIO
　libtiff が ThunderScan エンコードされた TIFF 画像を取り扱う際にバッファオーバーフローが発生することが原因で、細工された TIFF ファイルを表示することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-1167)

18) ImageIO
　libpng 1.5.5 以前のバージョンに存在する脆弱性が原因で、任意のコードを実行される脆弱性。(CVE-2011-3328)

19) Internet Sharing
　OS X Lion 10.7.3 にアップデートした後、インターネット共有に使用される WiFi 設定が工場出荷状態に戻ってしまい WEP パスワードが無効となってしまうことが原因で、インターネット共有によって作成された WiFi ネットワークのセキュリティレベルが低下する脆弱性。(CVE-2011-3452)

20) Libinfo
　Libinfo のホスト名検索リクエストの取り扱いに欠陥により細工されたホスト名の正しくない結果を返すことが原因で、細工された Web サイトを閲覧することで重要な情報が漏洩する脆弱性。(CVE-2011-3441)

21) libresolv
　DNS リソースレコードの解析処理において整数オーバーフローが発生することが原因で、アプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。
(CVE-2011-3453)

22) libsecurity
　既知の EV 発行人のリストにある Keychain 内の 'Never Trust' として設定していると、EV 認証を署名するルート認証局を信頼するためにルートが EV 認証でない署名を信頼しなくなる脆弱性。(CVE-2011-3422)

23) OpenGL
　OS X の OpenGL を実装に使用しているアプリケーションに脆弱性が存在することが原因で、アプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3457)

24) PHP
　PHP 5.3.6 に存在する脆弱性により任意のコードを実行される脆弱性。(CVE-2011-1148, CVE-2011-1657, CVE-2011-1938, CVE-2011-2202, CVE-2011-2483, CVE-2011-3182, CVE-2011-3189, CVE-2011-3267, CVE-2011-3268)

25) PHP
　FreeType が Type 1 フォントを取り扱い際にメモリ破壊が発生することが原因で、細工された PDF ファイルを表示することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3256)

26) PHP
　libpng 1.5.4 の脆弱性が原因で、任意のコードを実行される脆弱性。(CVE-2011-3328)

27) QuickTime
　MP4 エンコードされたファイルを取り扱う際に初期化されていないメモリを使用することが原因で、アプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3458)

28) QuickTime
　QuickTime 動画ファイルに埋め込まれたフォントテーブルを取り扱う際の署名問題が原因で、細工された動画ファイルを再生することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3248)

29) QuickTime
　QuickTime 動画ファイルの rdrf 要素を取り扱う際に off by one のバッファオーバーフローが発生することが原因で、細工された動画ファイルを再生することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。
(CVE-2011-3459)

30) QuickTime
　JPEG2000 ファイルを取り扱う際にバッファオーバーフローが発生することが原因で、細工された JPEG2000 ファイルを表示することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3250)

31) QuickTime
　PNG ファイルを取り扱う際にバッファオーバーフローが発生することが原因で、細工された PNG ファイルを処理することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3460)

32) QuickTime
　FLC エンコードされた動画ファイルを取り扱う際にバッファオーバーフローが発生することが原因で、細工された動画ファイルを再生することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-3249)

33) SquirreMail
　SquirreMail の複数の脆弱性が原因で、クロスサイトスクリプティング攻撃を受ける脆弱性。(CVE-2010-1637, CVE-2010-2813, CVE-2010-4554, CVE-2010-4555, CVE-2011-2023)

34) Subversion
　Subversion の複数の脆弱性が原因で、Subversion のリポジトリにアクセスすることで重要な情報が漏洩する脆弱性。(CVE-2011-1752, CVE-2011-1783, CVE-2011-1921)

35) Time Machine
　Time Machine がユーザにより指定されたリモート AFP ボリュームまたはタイムカプセルを同じ装置が次のバックアップ操作のために使用されるか検証していないことが原因で、リモートのボリュームに作成されたバックアップデータにアクセスされる脆弱性。(CVE-2011-3462)

36) Tomcat
　Tomcat 6.0.32 の脆弱性が原因で、重要な情報を漏洩する脆弱性。(CVE-2011-2204)

37) WebDAV Sharing
　WebDAV Sharing がユーザ認証を取り扱う際に欠陥が存在することが原因で、ローカルから権限昇格される脆弱性。(CVE-2011-3463)

38) Webmail
　メールのメッセージを取り扱い際にクロスサイトスクリプティングの欠陥が存在することが原因で、細工されたメッセージを表示することでメールの中身を取得される脆弱性。(CVE-2011-2937)

39) X11
　FreeType が Type 1 フォントを取り扱う際にメモリ破壊が発生することが原因で、細工された PDF ファイルを表示することでアプリケーションが異常終了したり任意のコードを実行されたりする脆弱性。(CVE-2011-2937)