Macos Brawte nfaq 0 Comments

Apple Macファンのあなた。自家製オートミルクラテはやめてください。セキュリティバグも修正してください。

Table of Contents

Apple Macファンのあなた。自家製オートミルクラテはやめてください。セキュリティバグも修正してください。

Apple は、サポートされているバージョンの macOS 上のソフトウェアに対する一連のセキュリティ修正についてユーザーに警告しており、できるだけ早くインストールする必要があります。

Safari バージョン13.1.1には、CVEリストに登録されたパッチが9件あります。そのうち6件は、罠が仕掛けられたWebページなどを開くことで発生する可能性のある悪意のあるコード実行(CVE-2020-9802、CVE-2020-9800、CVE-2020-9806、CVE-2020-9807、CVE-2020-9850、CVE-2020-9803)に対処しています。

これらの脆弱性は、Google Project ZeroのSamuel Groß氏、Trend MicroのZDIに携わるBrendan Draper氏、米国ジョージア工科大学のSSLabのWen Xu氏、そしてSSLabで共同作業を行っている3人によってそれぞれ発見されました。これらの脆弱性はSafariのWebkitコンポーネントに存在します。

SSLabの3人は、SafariにCVE-2020-9801という脆弱性を発見しました。これは、Mac上で既に実行されているマルウェアによって悪用され、ブラウザを強制的に別のアプリケーションを起動させる可能性があります。匿名の研究者はCVE-2020-9805を、Ryan PickrenはCVE-2020-9843を発見しました。どちらもこのソフトウェアに存在するクロスサイトスクリプティングの脆弱性です。Google Project ZeroのNatalie Silvanovichは、SafariのWebRTCコンポーネントにおける情報漏洩であるCVE-2019-20503を発見しました。

一方、macOS Catalina(バージョン10.15.5)には46件のセキュリティパッチが含まれており、macOS Mojave(10.14)およびHigh Sierra(10.13)ユーザーにも利用可能です。主な内容は以下のとおりです。

  • CVE-2020-9815 および CVE-2020-9791 は、Trend の ZDI 経由で Yu Zhou によって発見されました。特別に細工されたオーディオ ファイルは、境界外読み取りバグにより、オペレーティング システムによって処理されたときに悪意のあるコードの実行をトリガーする可能性があります。
  • CVE-2020-9816 は、ZDI 経由で STAR Labs の Peter Nguyen Vu Hoang によって発見されました: 罠が仕掛けられた PDF を開くと、オペレーティング システムのフォント パーサーの範囲外書き込みバグにより、クラッシュや悪意のあるコードの実行が引き起こされる可能性があります。
  • CVE-2020-3878は、Google Project ZeroのSamuel Groß氏によって発見されました。悪意を持って作成されたイメージは、OSのImageIOコンポーネントを介してコード実行を引き起こす可能性があります。VARAS@IIEのWenchao Li氏とAnt-financial Light-Year Security LabのXingwei Lin氏も同様のバグ(CVE-2020-9789およびCVE-2020-9790)を発見しました。
  • CVE-2020-9793、Python に関連するかなり謎めいたリモート コード実行ホールと、悪用可能なメモリ破損バグ。
  • Qihoo 360 Alpha Lab の Jianjun Dai 氏が発見した CVE-2020-9828: ハッカーはこれを悪用して、マシンの Bluetooth インターフェースを介して「機密性の高いユーザー情報を漏洩」する可能性があります。
  • CVE-2020-9837 は Computest の Thijs Alkemade によって発見されました: IPsec 接続が攻撃され、ユーザーのメモリが漏洩する可能性があります。
  • さらに、Mac にすでにインストールされているユーザーやソフトウェアによって悪用される可能性のある、大量の権限昇格バグや、無線 Wi-Fi クラッシュ (CVE-2020-9844、Google Project Zero の Ian Beer) などの問題もあります。

幸運を祈る

AppleはmacOS Catalinaに関しては3回目、いや4回目、いや5回目でうまくいくと約束:10.15.5がリリース

続きを読む

iOS ユーザーは今月初めのセキュリティ パッチを適用しているはずですが、出回っている脱獄に利用される任意のコード実行の脆弱性はこれでは塞がりません。

WindowsからApple製品に乗り換えたいと考えている方は、このセキュリティ問題(CVE-2020-9858)に注意してください。これは、WindowsからMacへの移行時に発生するDLL読み込みの脆弱性です。

最後に、Windows版iCloudの11.2バージョン(Windows 10)と7.19ビルド(Windows 7以降、ゲーマーの皆さん、こんにちは)の両方で、多数のバグが修正されました。WebKitの脆弱性に加え、ImageIOのコード実行バグ3件、SQLiteのクラッシュ脆弱性1件が含まれています。

稀に標的となるApple製品であっても、すべてのソフトウェアを最新の状態に保つことをお勧めします。セキュリティアップデートは、これらの修正を常に追跡してくれるはずです。®

Macos

Smart Recommendations

Discover More