Appleは先日公開した「GarageBand 10.1.6」で悪意のある攻撃者が作成したプロジェクトファイルを開くと、任意のコードが実行されてしまう脆弱性を修正したそうです。詳細は以下から。
Appleは現地時間2017年02月13日、DAWアプリ「GarageBand」をv10.1.6へアップデートし安定性を向上し不具合を修正したと発表しましたが、このバージョンでは悪意のある攻撃者が作成したプロジェクトファイル(.band)を開くことにより、任意のコードが実行されてしまう脆弱性CVE-2017-2374が修正されているそうです。
GarageBand 10.1.6
Released February 13, 2017
Projects
- Available for: OS X Yosemite v10.10 and later
- Impact: Opening a maliciously crafted GarageBand project file may lead to arbitrary code execution
- Description: A memory corruption issue was addressed through improved memory handling.
- CVE-2017-2374: Tyler Bohan of Cisco Talos
About the security content of GarageBand 10.1.6 – Apple Support
この脆弱性はCisco Talosグループが発見しAppleに報告しており、Cisco Talosはこの脆弱性が修正されたことを確認し、現地時間02月14日付けで脆弱性の詳細を開示しているので、まだアップデートされたいない方はアップデートすることをお勧めします。
- Talos 2016 0262 – Cisco Talos
- Talos 2017 0275 – Cisco Talos
- Vulnerability Spotlight: Apple Garage Band Out of Bounds Write Vulnerability – Cisco’s Talos Intelligence Group Blog
コメント