Apple、ZWNJを含んだ特定の文字列でアプリがクラッシュしてしまうCoreTextの不具合を修正した「macOS High Sierra 10.13.3追加アップデート」をリリース。

スポンサーリンク

 AppleがZWNJを含んだ特定の文字列を使用するとアプリがクラッシュしてしまうCoreTextの不具合を修正した「macOS High Sierra 10.13.3追加アップデート」をリリースしています。詳細は以下から。

macOS 10.13 High Sierraのインストーラーアイコン。

 Appleは現地時間2018年02月19日、ゼロ幅非接合子(以下、ZWNJ)が含まれる特定の文字列でメッセージアプリやターミナル、その他サードパーティアプリがクラッシュしてしまう不具合を修正した「macOS High Sierra 10.13.3追加アップデート」をリリースしています。

macOS High Sierra 10.13.3 Supplemental Update

CoreText

  • Available for: macOS High Sierra 10.13.3
  • Impact: Processing a maliciously crafted string may lead to heap corruption
  • Description: A memory corruption issue was addressed through improved input validation.
  • CVE-2018-4124: an anonymous researcher

About the security content of macOS High Sierra 10.13.3 Supplemental Update – Apple Support

 この不具合はCoreTextの不具合を利用したバグのため影響範囲が広く、iOS 11.2.xやwatchOS 4.2.xも影響を受けるためAppleは「macOS 10.13.4」および「iOS 10.3」アップデートの前に修正する事を約束していました。

macOSとiOSのCoreTextのZWNJ処理の不具合を利用してターミナルをクラッシュさせる

スポンサーリンク

3度目の追加アップデート

 Beta版も含めAppleが開発者およびPublic Betaユーザーに提供しているHigh Sierraは以下の通りですが、High Sierraとしては今回の追加アップデートはAPFSボリュームの暗号化用パスワードが平文のまま保存され、ディスクユーティリティにヒントとして表示されてしまう不具合を修正したmacOS 10.13追加アップデート、Intel CPUのSpectre脆弱性を緩和したmacOS 10.13.2追加アップデートに続き3度目の追加アップデートとなるようです。