今朝Yosemiteの2ndアップデート「OS X Yosemite 10.10.2 Update」がリリースされ、続いて「OS X Yosemite 10.10.2 Combo」もリリースされましたが、このComboアップデートはOS X 10.10のみに適用できるようです。詳細は以下から。
OS XのCombo Updateは、最新のアップデートと今までのアップデートの差分が含まれているいわゆる「統合アップデート」ですが、今回リリースされた「OS X Yosemite 10.10.2 Combo Update」はOS X 10.10.1には適用できず、OS X 10.10のみにしか適用できないとApple Support CommunitiesやTwitter, MacRumorsのForum[1, 2]で報告されています。
Anyone else seeing this while applying 10.10.2 Combo? O.o http://t.co/XpPom2A1o6
@9to5mac Important note. The 10.10.2 combo update is first update every, to not work on prior update 10.10.1. it only installs on 10.10.0
「バージョンチェック情報にミスがあるのでは?」とも言われていいるようですが、今回のOS X 10.10.2アップデートにはThunderboltの脆弱性(Bootkit)「Thunderstrike」対策としてFirmwareUpdateも一緒にパッケージされており、
Available for: OS X Yosemite v10.10 and v10.10.1, for: MacBook Pro Retina, MacBook Air (Mid 2013 and later), iMac (Late 2013 and later), Mac Pro (Late 2013)
Impact: A malicious Thunderbolt device may be able to affect firmware flashing
Description: Thunderbolt devices could modify the host firmware if connected during an EFI update. This issue was addressed by not loading option ROMs during updates.
CVE-ID
CVE-2014-4498 : Trammell Hudson of Two Sigma Investments[About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001 – Apple Support]
「Thunderstrike脆弱性を修正するにAppleはMacのBoot ROMが書き換えられるのを修正するだけではなく、その修正を元に戻して再度 脆弱性を攻撃可能な状態にするのを防ぐ為にコードを変更する必要があったようだ」という修正がComboアップデートがOS X 10.10.1で使用できない理由かもしれません。
(開発者向けにCDNにアップロードされているOSXUpdCombo10.10.2.pkgのみのアップデートはインストール可能でした)
To secure against Thunderstrike, Apple had to change the code to not only prevent the Mac’s boot ROM from being replaced, but also to prevent it from being rolled back to a state where the attack would be possible again.
According to people with access to the latest beta of OS X 10.10.2 who are familiar with Thunderstrike and how it works, that’s exactly the deep, layered process that’s been completed.
おまけ
ThunderstrikeのPoCを公開したHudsonさんは「Appleは HT204244でThunderstrikeを修正したけれど、Option ROMの脆弱性は修正されてない。悪意のある人たちが喜ぶね。」とツイートしています。
Apple HT204244 fixes Thunderstrike, but doesn’t close OptionROM vulnerability. Evil maids and border agents rejoice. https://t.co/yy1xcA7RZ6
追記
AppleはOS X 10.10.2 Combo Updateの更新しています。
Apple、「OS X Yosemite 10.10.2 Combo Update」のバグをひっそりと修正。OS X 10.10.1でも使用可能に。 http://t.co/NUnuOiO0BM http://t.co/7M4ssVD3de
関連リンク:
・Apple、Wi-Fiが接続解除される不具合やSafariの安定性、その他多くの脆弱性を修正したYosemiteの2ndアップデート「OS X アップデート 10.10.2」をリリース
・Apple、OS X 10.10ユーザー向けに「OS X Yosemite 10.10.2 Combo Update」を提供開始
・Apple、OS X MavericksとMountain Lion向けに「セキュリティアップデート 2015-001 1.0」と「Safari 7.1.3/6.2.3」をリリース
コメント
OS X 10,10限定Comboって、、、
必要な事はやらんで不必要な事はするんやな
今度こそクリーンインストで不具合一掃しようと思ってたのになんて事しやがるんだあああ