http://support.apple.com/kb/HT6162
上記 URL の iOS のセキュリティアップデートの翻訳
1) Backup
バックアップにあるシンボリックリンクを復元するとき、ファイルシステムの残りに書き込みする復元処理の間、後続の操作を許可することが原因で、悪意のあるバックアップがファイルシステムを改ざんできる脆弱性。(CVE-2013-5133)
2) Certificate Trust Policy
いくつかの証明書がシステムルートのリストに加えられたり、削除されたりすることが原因で、ルート証明書が更新される脆弱性。
3) Configuration Profiles
モバイル設定プロファイルの有効期限を正しく評価していないことが原因で、プロファイルの有効期限が評価されない脆弱性。(CVE-2014-1267)
4) CoreCapture
IOKit API コールの CoreCapture の処理に到達可能なアサーションが存在することが原因で、悪意のあるアプリケーションが予期しないシステム停止を引き起こす脆弱性。(CVE-2014-1271)
5) Crash Reporting
CrashHouseKeeping がファイルのパーミッションを変更している間シンボリックリンクを追随することが原因で、ローカルユーザが任意のファイルのパーミッションを変更できる脆弱性。(CVE-2014-1272)
6) dyld
ダイナミック・ライブラリにあるテキスト再配置命令がコード署名の検証なしに dyld によってロードされることが原因で、コード署名要求を回避される脆弱性。(CVE-2014-1273)
7) FaceTime
ロックされた装置上の FaceTime の契約がロック画面からの FaceTime 呼び出しの失敗により暴露されることが原因で、装置へ物履的にアクセスできる人がロック画面から FaceTime 契約にアクセスできる脆弱性。CVE-2014-1274)
8) ImageIO
PDF ファイルの JPEG2000 画像の処理にバッファオーバーフローが存在することが原因で、細工されたPDFファイルを参照することでアプリケーションを異常終了させたり、任意のコードを実行されたりする脆弱性。(CVE-2014-1275)
9) ImageIO
libtiff の TIFF 画像の処理にバッファオーバーフローが存在することが原因で、細工されたTIFFファイルを参照することでアプリケーションを異常終了させたり、任意のコードを実行されたりする脆弱性。(CVE-2012-2088)
10) ImageIO
libjpeg の JPEG マーカーの処理に初期化されていないメモリへのアクセスが存在することが原因で、細工された JPEG ファイルを参照することでメモリの中身の暴露を導く脆弱性。(CVE-2013-6629)
11) IOKit HID Event
IOKit フレームワークのインターフェースが悪意のあるアプリに他のアプリのユーザ操作を監視することを許可していることが原因で、悪意のあるアプリケーションが他のアプリのユーザ操作を監視できる脆弱性。(CVE-2014-1276)
12) iTunes Store
ネットワークに係る特権を持つ攻撃者がユーザに悪意のあるアプリをダウンロードすることに誘発するためにネットワーク通信をだますことができることが原因で、企業向けアプリのダウンロードを介して悪意のあるアプリをユーザがダウンロードすることを誘発する介入者攻撃ができる脆弱性。(CVE-2014-1277)
13) Kernel
ARM ptmx_get_ioctl 関数に領域外メモリアクセス問題が存在することが原因で、ローカルユーザがシステムの異常終了やカーネル上で任意のコードを実行できる脆弱性。(CVE-2014-1278)
14) Office Viewer
Microsoft Word 文書の処理においてメモリの二重解放が存在することが原因で、悪意のある Microsoft Word 文書を開くことでアプリケーションが異常終了したり、任意のコードを実行できる脆弱性。(CVE-2014-1252)
15) Photos Backend
有用なライブラリから画像を削除するときに、画像のキャッシュされたバージョンを削除できないことが原因で、トランスペアレント画像に下の写真アプリにて削除された画像が残る脆弱性。(CVE-2014-1281)
16) Profiles
長い名前の設定プロファイルが装置にロードされるが、プロファイル内に表示されないことが原因で、設定プロファイルがユーザから隠されてしまう脆弱性。(CVE-2014-1282)
17) Safari
Safari がメインフレームより異なるドメインからサブフレーム上にあるユーザの名前及びパスワードを自動的に埋めてしまうしまう脆弱性。(CVE-5227)
18) Settings - Accounts
Find My iPhone 状態の処理に状態管理の問題が存在することが原因で、装置に物理的にアクセスできる人が iCloud のパスワードの入力なしに Find My iPhone を無効にできる脆弱性。(CVE-2014-1284)
19) Springboard
アクティベーション中の意味不明のアプリケーションの異常終了が電話がホーム画面を表示することが原因で、装置に物理的にアクセスできる人が装置がアクティベートされていなくても装置のホーム画面を見ることができる脆弱性。(CVE-2014-1285)
20) SpringBoard Lock System
ロック画面に状態管理の問題が存在することが原因で、リモートのユーザがロック画面を無反応にできる脆弱性。(CVE-2014-1286)
21) TelephonyUI Framework
Safari が facetime-audio:// URL を開く前にユーザに尋ねないことが原因で、Webページがユーザ操作なしに FaceTime 音声通話を起動できる脆弱性。(CVE-2013-6835)
22) USB Host
USB メッセージの処理にメモリ破壊の問題が存在することが原因で、装置に物理的にアクセスできる人がカーネルモードで任意のコードを実行できる脆弱性。(CVE-2014-1287)
23) Video Driver
MPEG-4 エンコードファイルの処理に NULL ポインタ逆参照問題が存在することが原因で、細工されたビデオを再生することで装置を無反応にする脆弱性。(CVE-2014-1280)
24) WebKit
WebKit に複数のメモリ破壊が存在することが原因で、悪意のあるWebサイトを閲覧することで、アプリケーションが異常終了したり、任意のコードを実行したりする脆弱性。(CVE-2013-2909,CVE-2013-2926,CVE-2013-2928,CVE-2013-5196,CVE-2013-5197,CVE-2013-5198,CVE-2013-5199,CVE-2013-5225,CVE-2013-5228,CVE-2013-6625,CVE-2013-6635,CVE-2014-1269,CVE-2014-1270,CVE-2014-1289,CVE-2014-1290,CVE-2014-1291,CVE-2014-1292,CVE-2014-1293,CVE-2014-1294)
バックアップにあるシンボリックリンクを復元するとき、ファイルシステムの残りに書き込みする復元処理の間、後続の操作を許可することが原因で、悪意のあるバックアップがファイルシステムを改ざんできる脆弱性。(CVE-2013-5133)
2) Certificate Trust Policy
いくつかの証明書がシステムルートのリストに加えられたり、削除されたりすることが原因で、ルート証明書が更新される脆弱性。
3) Configuration Profiles
モバイル設定プロファイルの有効期限を正しく評価していないことが原因で、プロファイルの有効期限が評価されない脆弱性。(CVE-2014-1267)
4) CoreCapture
IOKit API コールの CoreCapture の処理に到達可能なアサーションが存在することが原因で、悪意のあるアプリケーションが予期しないシステム停止を引き起こす脆弱性。(CVE-2014-1271)
5) Crash Reporting
CrashHouseKeeping がファイルのパーミッションを変更している間シンボリックリンクを追随することが原因で、ローカルユーザが任意のファイルのパーミッションを変更できる脆弱性。(CVE-2014-1272)
6) dyld
ダイナミック・ライブラリにあるテキスト再配置命令がコード署名の検証なしに dyld によってロードされることが原因で、コード署名要求を回避される脆弱性。(CVE-2014-1273)
7) FaceTime
ロックされた装置上の FaceTime の契約がロック画面からの FaceTime 呼び出しの失敗により暴露されることが原因で、装置へ物履的にアクセスできる人がロック画面から FaceTime 契約にアクセスできる脆弱性。CVE-2014-1274)
8) ImageIO
PDF ファイルの JPEG2000 画像の処理にバッファオーバーフローが存在することが原因で、細工されたPDFファイルを参照することでアプリケーションを異常終了させたり、任意のコードを実行されたりする脆弱性。(CVE-2014-1275)
9) ImageIO
libtiff の TIFF 画像の処理にバッファオーバーフローが存在することが原因で、細工されたTIFFファイルを参照することでアプリケーションを異常終了させたり、任意のコードを実行されたりする脆弱性。(CVE-2012-2088)
10) ImageIO
libjpeg の JPEG マーカーの処理に初期化されていないメモリへのアクセスが存在することが原因で、細工された JPEG ファイルを参照することでメモリの中身の暴露を導く脆弱性。(CVE-2013-6629)
11) IOKit HID Event
IOKit フレームワークのインターフェースが悪意のあるアプリに他のアプリのユーザ操作を監視することを許可していることが原因で、悪意のあるアプリケーションが他のアプリのユーザ操作を監視できる脆弱性。(CVE-2014-1276)
12) iTunes Store
ネットワークに係る特権を持つ攻撃者がユーザに悪意のあるアプリをダウンロードすることに誘発するためにネットワーク通信をだますことができることが原因で、企業向けアプリのダウンロードを介して悪意のあるアプリをユーザがダウンロードすることを誘発する介入者攻撃ができる脆弱性。(CVE-2014-1277)
13) Kernel
ARM ptmx_get_ioctl 関数に領域外メモリアクセス問題が存在することが原因で、ローカルユーザがシステムの異常終了やカーネル上で任意のコードを実行できる脆弱性。(CVE-2014-1278)
14) Office Viewer
Microsoft Word 文書の処理においてメモリの二重解放が存在することが原因で、悪意のある Microsoft Word 文書を開くことでアプリケーションが異常終了したり、任意のコードを実行できる脆弱性。(CVE-2014-1252)
15) Photos Backend
有用なライブラリから画像を削除するときに、画像のキャッシュされたバージョンを削除できないことが原因で、トランスペアレント画像に下の写真アプリにて削除された画像が残る脆弱性。(CVE-2014-1281)
16) Profiles
長い名前の設定プロファイルが装置にロードされるが、プロファイル内に表示されないことが原因で、設定プロファイルがユーザから隠されてしまう脆弱性。(CVE-2014-1282)
17) Safari
Safari がメインフレームより異なるドメインからサブフレーム上にあるユーザの名前及びパスワードを自動的に埋めてしまうしまう脆弱性。(CVE-5227)
18) Settings - Accounts
Find My iPhone 状態の処理に状態管理の問題が存在することが原因で、装置に物理的にアクセスできる人が iCloud のパスワードの入力なしに Find My iPhone を無効にできる脆弱性。(CVE-2014-1284)
19) Springboard
アクティベーション中の意味不明のアプリケーションの異常終了が電話がホーム画面を表示することが原因で、装置に物理的にアクセスできる人が装置がアクティベートされていなくても装置のホーム画面を見ることができる脆弱性。(CVE-2014-1285)
20) SpringBoard Lock System
ロック画面に状態管理の問題が存在することが原因で、リモートのユーザがロック画面を無反応にできる脆弱性。(CVE-2014-1286)
21) TelephonyUI Framework
Safari が facetime-audio:// URL を開く前にユーザに尋ねないことが原因で、Webページがユーザ操作なしに FaceTime 音声通話を起動できる脆弱性。(CVE-2013-6835)
22) USB Host
USB メッセージの処理にメモリ破壊の問題が存在することが原因で、装置に物理的にアクセスできる人がカーネルモードで任意のコードを実行できる脆弱性。(CVE-2014-1287)
23) Video Driver
MPEG-4 エンコードファイルの処理に NULL ポインタ逆参照問題が存在することが原因で、細工されたビデオを再生することで装置を無反応にする脆弱性。(CVE-2014-1280)
24) WebKit
WebKit に複数のメモリ破壊が存在することが原因で、悪意のあるWebサイトを閲覧することで、アプリケーションが異常終了したり、任意のコードを実行したりする脆弱性。(CVE-2013-2909,CVE-2013-2926,CVE-2013-2928,CVE-2013-5196,CVE-2013-5197,CVE-2013-5198,CVE-2013-5199,CVE-2013-5225,CVE-2013-5228,CVE-2013-6625,CVE-2013-6635,CVE-2014-1269,CVE-2014-1270,CVE-2014-1289,CVE-2014-1290,CVE-2014-1291,CVE-2014-1292,CVE-2014-1293,CVE-2014-1294)
0 件のコメント:
コメントを投稿