Appleセキュリティアップデート公開

AppleからMac OS Xのセキュリティアップデートが公開されている。

■Mac OS Xのアップデート公開、40件の脆弱性に対処
http://www.itmedia.co.jp/news/articles/0810/14/news030.html

US-CERT Current Activityの誤訳も。

■Apple Releases Security Update 2008-007
http://www.us-cert.gov/current/index.html#apple_releases_security_update_20082

Apple Releases Security Update 2008-007
added October 10, 2008 at 09:44 am

Apple has released Security Update 2008-007 to address multiple vulnerabilities in a number of applications. These vulnerabilities may allow an attacker to execute arbitrary code, conduct cross-site request forgery or cross-site scripting attacks, cause a denial-of-service condition, or operate with escalated privileges.

US-CERT encourages users and administrators to review Apple Article HT3216 and apply any necessary updates to help mitigate the risks.

誤訳:
Apple、セキュリティアップデート2008-007をリリース
掲載 2008年10月10日 AM09:44

Appleは、いくつかのアプリケーションの複数の脆弱性を修正したSecurity Update 2008-007をリリースした。
これらの脆弱性は、攻撃者に任意コードの実行、クロスサイトリクエストフォージェリーやクロスサイトスクリプティングの誘導、サービス拒否、特権上昇を伴う操作を許可する可能性がある。

US-CERTは利用者と管理者に、リスク回避のための一助としてApple記事HT3216の確認と、必要な更新の適用を推奨する。

Mac OS XにおけるJava脆弱性の修正がリリース

AppleからJava関連の脆弱性修正がリリースされている。

■Apple、Mac OS XのJavaアップデート公開
http://www.itmedia.co.jp/news/articles/0809/26/news027.html

Appleのアドバイザリーによると、公開した「Java for Mac OS X 10.5 Update 2」はMac OS X 10.5.4とそれ以降が対象で、Java関連の6項目の脆弱性に対処している。「Java for Mac OS X 10.4, Release 7」はMac OS X 10.4.11が対象となり、3項目の脆弱性に対処した。

そして不要かもしれないのに、いつものUS-CERT Current Activityの誤訳。

Apple Releases Java Updates for Mac OS X 10.4 and 10.5
added September 25, 2008 at 08:22 am

Apple has released updates for Java for Mac OS X 10.4 and 10.5 to address multiple vulnerabilities. These vulnerabilities may allow an attacker to execute arbitrary code.

US-CERT encourages users to review Apple Article HT3178 and HT3179 and apply any necessary updates to help mitigate the risks.

誤訳:

AppleがMac OS X 10.4、10.5用のJavaアップデートをリリース
掲載 2008年9月25日 AM08:22

Appleは、複数の脆弱性を修正した、Mac OS 10.4ならびに10.5用のJavaのアップデートをリリースした。これらの脆弱性は、攻撃者に任意コードの実行を許可する可能性がある。

US-CERTは利用者にApple記事HT3178HT3179の確認と、リスク軽減の一助のために適宜必要な更新の適用を推奨する。

Appleがセキュリティアップデートをリリース

AppleがMac OS X 10.5と10.4の脆弱性に対応するセキュリティアップデートをリリースした模様。脆弱性の修正以外の修正パッチも多数含まれている。

■Mac OS Xのアップデート公開、深刻な脆弱性を修正
http://www.itmedia.co.jp/news/articles/0809/16/news028.html

文中の「セキュリティアップデート2008-006」(日本語版)は、まだ公開されていないくさい。英語版はリリースされている模様。

■About the security content of Mac OS X v10.5.5 and Security Update 2008-006
http://support.apple.com/kb/HT3137

メインとなる脆弱性は、US-CERTからもアナウンスされている。

■MAC OS X file sharing allows authenticated remote access to files and directories
http://www.kb.cert.org/vuls/id/126787

MAC OS X file sharing allows authenticated remote access to files and directories

Overview
Mac OS X Leopard does not accurately reflect which files and directories are available via sharing.

I. Description
Mac OS X Leopard (10.5.x) allows files and directories to be shared via a “Shared Folders” feature. OS X lists the folders that are shared using this feature, however the list is incomplete. An authenticated user can access his home directory remotely, and an authenticated administrator can remotely access the entire hard drive.

II. Impact
A system that is configured with Shared Folders enabled may be exposing more files and directories than expected.

III. Solution
Apply an update

This issue is addressed in Apple Mac OS X 10.5.5. This update causes OS X to more accurately explain which files and directories are shared. Please see the Apple Advisory for more details.

Systems Affected
Vendor Status Date Updated
Apple Computer, Inc. Vulnerable 15-Sep-2008

References

http://support.apple.com/kb/HT3137

Credit

Thanks to Russ Andersson for reporting this vulnerability.

This document was written by Will Dormann.

誤訳:
MAC OS Xにおけるファイル共有が、認証されたリモートアクセスをファイルやディレクトリに許可する

概要
Mac OS X Leopardはファイルとディレクトリが共有経由で利用可能である状態を反映していない。

I. 詳細
Mac OS X Leopard (10.5.x)は、”Shared Folders”機能経由で共有されることをファイルとディレクトリに許可する。OS Xはこの機能を利用して共有されるフォルダを一覧するが、この一覧は不適切である。ある認証されたユーザが彼のホームディレクトリにリモートでアクセス可能となり、ある認証された管理者はハードドライブ全体をリモートでアクセス可能となる。

II. 影響
共有フォルダが有効に設定されたシステムは、予想以上に多くのファイルやディレクトリ名がさらされる可能性がある。

III. 解決方法
アップデートの適用
この問題はApple Mac OS X 10.5.5で修正された。このアップデートはOS Xに、共有されるファイルとディレクトリにより適切な説明をさせている。詳細はAppleのアドバイザリを参照のこと。

参照
http://support.apple.com/kb/HT3137

クレジット
この脆弱性をレポートしたRuss Andersson氏に敬意を表する。

このドキュメントはWill Dormannが執筆した。

iPhone v2.1リリース

iPhone v2.1がリリース、という話。

■Apple Releases iPhone v2.1
http://www.us-cert.gov/current/index.html#apple_releases_iphone_v2_1

Apple Releases iPhone v2.1
added September 12, 2008 at 01:46 pm

Apple has released iPhone v2.1 to address multiple vulnerabilities in Application Sandbox, CoreGraphics, mDNSResponder, Networking, Passcode Lock, and Webkit. These vulnerabilities may allow an attacker to execute arbitrary code, conduct DNS cache poisoning attacks, spoof or hijack TCP sessions, bypass Passcode Lock, obtain sensitive information, or cause a denial-of-service condition.

US-CERT encourages users to review Apple document HT3129 and upgrade to iPhone v2.1.

誤訳:
Apple、iPhone v2.1をリリース
掲載 2008年9月12日 PM01:46

Appleは、アプリケーションサンドボックス、CoreGraphics、mDNSResponder、ネットワーキング、パスコードロック、Webkitにおける複数の脆弱性を修正したiPhone v2.1をリリースした。
これらの脆弱性は、任意のコード実行、DNSキャッシュポイズニング攻撃の誘導、TCPセッションハイジャックや偽装、パスコードロックのバイパス、機密情報の入手、サービス拒否を攻撃者に許可する。

US-CERTは利用者にAppleドキュメントHT3129の確認と、iPhone v2.1へのアップグレードを推奨する。

AppleのMobileMeがらみのフィッシング詐欺

Appleが問題ってわけじゃなくて、MobileMeに関するフィッシング詐欺が出回っている模様。

Apple MobileMe Phishing Scam
added August 13, 2008 at 10:18 am

US-CERT is aware of public reports of a phishing attack circulating via email messages that appear to be targeting Apple MobileMe users. These messages claim that there is a problem with the user’s billing information and instruct the user to follow a web link to update personal information. Clicking on this link directs the user to a web page that contains a seemingly legetimate web form requesting personal and financial information. Any information entered in this form is not sent to Apple but rather, to a malicious attacker.

US-CERT encourages users to do the following to help mitigate the risks:

* Do not follow unsolicited web links in email messages.
* Use caution when entering sensitive information online.
* Refer to the Recognizing and Avoiding Email Scams (pdf) document for more information on avoiding email scams.
* Refer to the Avoiding Social Engineering and Phishing Attacks document for more information on social engineering attacks.

誤訳:
Apple MobileMeのフィッシング詐欺
掲載 2008年8月13日 AM10:18

US-CERTは、電子メール経由で出回っているApple MobileMe利用者をターゲットにしていると思われるフィッシング攻撃の公式報告を確認している。
これらのメッセージは、これらが利用者の支払い情報に問題があることを主張し、個人情報を更新するようウェブリンクに従うよう利用者に指示している。このリンクをクリックすることで、利用者を一見適正な個人情報と決済情報を要求するウェブフォームを含むウェブページに誘導する。このフォームに入力されたすべて情報はAppleに送られず、代わりに不正な攻撃者に送られる。

US-CERTは、リスク低減の助けとなる以下を実施するよう利用者に推奨する。

Appleからセキュリティアップデートリリース

Appleのセキュリティアップデートがリリースの模様。
ようやくこれで、Mac OS XもDNS問題が修復された。

■DNSの脆弱性などを修正、Mac OS X用アップデート「2008-005」公開
http://internet.watch.impress.co.jp/cda/news/2008/08/01/20461.html

US-CERT Current Activityも出ている。
(C)US-CERT

Apple Releases Security Update 2008-005
added August 1, 2008 at 08:17 am

Apple has released Security Update 2008-005 to address multiple vulnerabilities that affect a number of applications. These vulnerabilities may allow an attacker to conduct DNS cache poisoning attacks, execute arbitrary code, cause a denial-of-service condition, or access the affected system with elevated privileges. Please note that this update addresses recent issues with weaknesses in common DNS implementations; see Vulnerability Note VU#800113 for additional information.

US-CERT encourages users to review Apple Article HT2647 and apply any necessary updates as soon as possible to help mitigate the risks.

誤訳:
Apple、セキュリティアップデート2008-005をリリース
掲載 2008年8月1日 AM08:17

Appleは複数のアプリケーションに影響のある複数の脆弱性を修正したセキュリティアップデート2008-005をリリースした。これらの脆弱性は、攻撃者にDNSキャッシュポイズニング攻撃の誘導、任意コードの実行、サービス拒否を引き起こす、あるいは権限上昇を伴うシステムに影響のあるアクセスを許可する可能性がある。本アップデートは共通のDNS実装における弱点に伴う最近の問題を修正することに注意して頂きたい。追加情報は脆弱性注意喚起VU#800113を参照。

US-CERTはAppleの記事HT2647の確認と、リスク低減の一助のための可能な限り早急な必要アップデートの適用を利用者に推奨する。

Windows版Safariに脆弱性

深刻度は低いみたいだけれど。
クロスドメインクッキーインジェクション、もしくはCookie Monsterらしい。
FirefoxやIEでもあるんじゃなかったけ?
ま、あやしげなサイトでのURLクリックとか、あやしげなメールに書かれたURLへのアクセスは、避けるべきですな。

■Windows版Safariに脆弱性見つかる
http://www.itmedia.co.jp/news/articles/0807/24/news028.html

iPhoneとiPodの脆弱性を修正

巷でおおはしゃぎのiPhoneですが、世界同時リリースと同時にセキュリティ更新もリリース。

やるな、ジョブズ。
そんなわけで、セキュリティアップデートも大行列な予感?

ところでAppleのサイトはセキュリティ関連のページがむちゃくちゃ探しづらいのですが、あれなんとかなんないんですか、ジョブズ先生? おたくの会社、デザイン以外はゲイツとたいしてかわらないじゃないのさ。サポートは、あのマイクロソフトよりさらにひどいけど。

US-CERT Current Activityより。

Apple Releases Security Updates for iPhone and iPod touch
added July 11, 2008 at 03:17 pm

Apple has released iPhone v2.0 and iPod touch v2.0 to address multiple vulnerabilities. These vulnerabilities affect CFNetwork, Kernel, Safari, and WebKit. Exploitation of these vulnerabilities may allow an attacker to execute arbitrary code, obtain sensitive information, spoof websites, conduct cross-site scripting attacks or cause a denial-of-service condition.

US-CERT encourages users to review Apple Article HT2351 and apply any necessary updates.

誤訳:
AppleがiPhoneとiPod touch向けのセキュリティアップデートをリリース
掲載 2008年7月11日 PM03:17

Appleは、複数の脆弱性を修正したiPhone v2.0とiPod touch v2.0をリリースした。これらの脆弱性は、CFNetwork、Kernel、Safari、そしてWebKitに影響を及ぼす。これらの脆弱性の悪用により、攻撃者に任意のコード実行、機密情報の入手、ウェブサイト偽装、クロスサイトスクリプティング攻撃の誘導やサービス拒否を許可する可能性がある。

US-CERTは利用者に、Appleの記事HT2351の参照と、必要な更新の適用を推奨する。

【2008.07.14 10:10 追記】
ITmediaで記事がようやく出た模様。
■Apple、iPhoneなどのソフトウェアを更新
http://www.itmedia.co.jp/news/articles/0807/14/news013.html

【2008.07.14 16:20 追記】
JVNも出た模様。
■iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性 – JVN#88676089
http://jvn.jp/jp/JVN88676089/

Safari for Windwosに関するMSアドバイザリ更新

お、1ヶ月前にも、同じタイトルでブログ書いてる!
さっすが、同一人物…狙ってないのに、この合致のしよう… orz

閑話休題。

Appleセキュリティアップデートがリリースされたのを受けて、「推奨するアクション」にダウンロードサイトを追加した模様。

■Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威
http://www.microsoft.com/japan/technet/security/advisory/953818.mspx

2008/07/03: 「推奨するアクション」の欄を更新し、最新の Apple Safari のダウンロード サイトについてお知らせしました。