Apple、「Logic Pro X 10.3.1」をリリース。悪意のある攻撃者が作成したGarageBandプロジェクトファイルで、任意のコードが実行されてしまうの脆弱性を修正。

　Appleは「Logic Pro X 10.3.1」をリリースし、悪意のある攻撃者が作成したGarageBandプロジェクトファイルで、任意のコードが実行されてしまうの脆弱性を修正したと発表しています。詳細は以下から。

　Appleは現地時間2017年02月21日、同社の「Logic Pro X」をv10.3.1へアップデートし、いくつかの不具合を修正したと発表していますが、今回のアップデートでは以前GarageBand v10.1.6で修正された悪意のある攻撃者が作成したGarageBandプロジェクトファイル(.band)を開くことにより、任意のコードが実行されてしまう脆弱性CVE-2017-2374も修正されているそうです。

Logic Pro X 10.3.1
Released February 21, 2017

• Available for: OS X El Capitan v10.11 and later (64 bit)
• Impact: Opening a maliciously crafted GarageBand project file may lead to arbitrary code execution
• Description: A memory corruption issue was addressed through improved memory handling.
• CVE-2017-2374: Tyler Bohan of Cisco Talos

About the security content of Logic Pro X 10.3.1 – Apple Support

　この脆弱性はCisco Talosグループが発見し、同グループは既にこの脆弱性の詳細を開示しているので、まだアップデートされたいない方はアップデートすることをお勧めします。

• Talos 2016 0262 – Cisco Talos
• Talos 2017 0275 – Cisco Talos
• Vulnerability Spotlight: Apple Garage Band Out of Bounds Write Vulnerability – Cisco’s Talos Intelligence Group Blog