AppleがOS X Yosemite 10.10.1で修正したSpotlightやWebKitなどのセキュリティ問題の情報を公開しています。詳細は以下から。
CVE-2014-4460
CVE-2014-4460は「プライベートブラウジングを終了した後にWebサイトのキャッシュが完全にクリアされない」不具合 。
Description: A privacy issue existed where browsing data could remain in the cache after leaving private browsing. This issue was addressed through a change in caching behavior.
CVE-2014-4453
CVE-2014-4453は「OS X YosemiteのSpotlightやSafariで予測変換機能を使用する際に、ワードを入力する前に不要な位置情報を送信している」というもので、発見者のAshkan SoltaniさんによるとiOS 8.1.1でも同様の不具合が修正されたそうです 。
Apple fixes Spotlight’s sending location even before users type a query in OSX10.1 & iOS8.1.1 http://t.co/ojR6xLCQGm http://t.co/sjDKexxjbf
Description: The initial connection made by Spotlight or Safari to the Spotlight Suggestions servers included a user’s approximate location before a user entered a query. This issue was addressed by removing this information from the initial connection and only sending the user’s approximate location as part of queries.
CVE-2014-4458
CVE-2014-4458は「”このMacについて”のシステムモデルを決定する為にAppleへ行う通信の一部に不要な情報が含まれている」というもので、この問題はクッキーを削除することで対処されたそうです。
Description: The request made by About This Mac to determine the model of the system and direct users to the correct help resources included unnecessary cookies.
This issue was addressed by removing cookies from the connection.
CVE-2014-4459
CVE-2014-4459はWEbKitの不具合で解放済みのメモリー領域(Use After Free)を使用し、悪意のあるWebサイトで任意のコードが実行されるというもの。Safari 8.0 (10600.1.25.1)で対処されたそうです。
Description: A use after free issue existed in the handling of page objects. This issue was addressed through improved memory management.
iOS 8.1.1では同様のSpotlightやWebKitのセキュリティ問題の他に、ロック画面からフォトライブラリー内にアクセスできる問題などが修正されています。
関連リンク:
・About the security content of OS X Yosemite v10.10.1 – Apple Support
・About the security content of iOS 8.1.1 – Apple Support
・OS X YosemiteのSpotlightがAppleやMicrosoftにデータを送信しているのがよく分かる動画と、それを止めるシステム環境設定とSafariの設定
コメント
脆弱性CVE-2014-4453が怖くて笑えない。
今までスポットライト起動しただけで位置情報送ってたのか。
バグだから仕方がないですね、はい