Apple、OS X Yosemite 10.10.1でSpotlightの予測検索機能が不要な位置情報をサーバーに送信する問題やWebKitの脆弱性など4つのセキュリティ問題を修正。

スポンサーリンク

 AppleがOS X Yosemite 10.10.1で修正したSpotlightやWebKitなどのセキュリティ問題の情報を公開しています。詳細は以下から。


About-the-security-content-of-OS-X-Yosemite-v10-10-1-Hero


CVE-2014-4460

 CVE-2014-4460は「プライベートブラウジングを終了した後にWebサイトのキャッシュが完全にクリアされない」不具合 。


OS-X-Yosemite-プライベートブラウジング

Description: A privacy issue existed where browsing data could remain in the cache after leaving private browsing. This issue was addressed through a change in caching behavior.

CVE-2014-4453

 CVE-2014-4453は「OS X YosemiteのSpotlightやSafariで予測変換機能を使用する際に、ワードを入力する前に不要な位置情報を送信している」というもので、発見者のAshkan SoltaniさんによるとiOS 8.1.1でも同様の不具合が修正されたそうです 。

Description: The initial connection made by Spotlight or Safari to the Spotlight Suggestions servers included a user’s approximate location before a user entered a query. This issue was addressed by removing this information from the initial connection and only sending the user’s approximate location as part of queries.

CVE-2014-4458

 CVE-2014-4458は「”このMacについて”のシステムモデルを決定する為にAppleへ行う通信の一部に不要な情報が含まれている」というもので、この問題はクッキーを削除することで対処されたそうです。


About-This-Mac-10-10-1

Description: The request made by About This Mac to determine the model of the system and direct users to the correct help resources included unnecessary cookies.
This issue was addressed by removing cookies from the connection.

CVE-2014-4459

 CVE-2014-4459はWEbKitの不具合で解放済みのメモリー領域(Use After Free)を使用し、悪意のあるWebサイトで任意のコードが実行されるというもの。Safari 8.0 (10600.1.25.1)で対処されたそうです。


OS-X-Yosemite-Safari-8-1

Description: A use after free issue existed in the handling of page objects. This issue was addressed through improved memory management.

 iOS 8.1.1では同様のSpotlightやWebKitのセキュリティ問題の他に、ロック画面からフォトライブラリー内にアクセスできる問題などが修正されています。

関連リンク:
About the security content of OS X Yosemite v10.10.1 – Apple Support

About the security content of iOS 8.1.1 – Apple Support

OS X YosemiteのSpotlightがAppleやMicrosoftにデータを送信しているのがよく分かる動画と、それを止めるシステム環境設定とSafariの設定b.hatena


コメント

  1. Apple7743 より:

    脆弱性CVE-2014-4453が怖くて笑えない。
    今までスポットライト起動しただけで位置情報送ってたのか。

  2. Apple7743 より:

    バグだから仕方がないですね、はい