Yosemiteの2ndアップデート「OS X Yosemite 10.10.2 Combo Update」はOS X 10.10のみにしか適用できないもよう。

シェアする

スポンサーリンク

 今朝Yosemiteの2ndアップデート「OS X Yosemite 10.10.2 Update」がリリースされ、続いて「OS X Yosemite 10.10.2 Combo」もリリースされましたが、このComboアップデートはOS X 10.10のみに適用できるようです。詳細は以下から。


OS-X-統合アップデートのインストール


 OS XのCombo Updateは、最新のアップデートと今までのアップデートの差分が含まれているいわゆる「統合アップデート」ですが、今回リリースされた「OS X Yosemite 10.10.2 Combo Update」はOS X 10.10.1には適用できず、OS X 10.10のみにしか適用できないとApple Support CommunitiesやTwitter, MacRumorsのForum[1, 2]で報告されています。


 「バージョンチェック情報にミスがあるのでは?」とも言われていいるようですが、今回のOS X 10.10.2アップデートにはThunderboltの脆弱性(Bootkit)「Thunderstrike」対策としてFirmwareUpdateも一緒にパッケージされており、


OSXUpdCombo10-10-2

Available for: OS X Yosemite v10.10 and v10.10.1, for: MacBook Pro Retina, MacBook Air (Mid 2013 and later), iMac (Late 2013 and later), Mac Pro (Late 2013)

Impact: A malicious Thunderbolt device may be able to affect firmware flashing

Description: Thunderbolt devices could modify the host firmware if connected during an EFI update. This issue was addressed by not loading option ROMs during updates.

CVE-ID
CVE-2014-4498 : Trammell Hudson of Two Sigma Investments

[About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001 – Apple Support]

 「Thunderstrike脆弱性を修正するにAppleはMacのBoot ROMが書き換えられるのを修正するだけではなく、その修正を元に戻して再度 脆弱性を攻撃可能な状態にするのを防ぐ為にコードを変更する必要があったようだ」という修正がComboアップデートがOS X 10.10.1で使用できない理由かもしれません。


OSXUpdCombo10-10-2-のインストール

(開発者向けにCDNにアップロードされているOSXUpdCombo10.10.2.pkgのみのアップデートはインストール可能でした)

To secure against Thunderstrike, Apple had to change the code to not only prevent the Mac’s boot ROM from being replaced, but also to prevent it from being rolled back to a state where the attack would be possible again.
According to people with access to the latest beta of OS X 10.10.2 who are familiar with Thunderstrike and how it works, that’s exactly the deep, layered process that’s been completed.

[‘Thunderstrike’ attack also fixed in OS X 10.10.2 – iMore]

おまけ

 ThunderstrikeのPoCを公開したHudsonさんは「Appleは HT204244でThunderstrikeを修正したけれど、Option ROMの脆弱性は修正されてない。悪意のある人たちが喜ぶね。」とツイートしています。


追記

 AppleはOS X 10.10.2 Combo Updateの更新しています。


関連リンク:
Apple、Wi-Fiが接続解除される不具合やSafariの安定性、その他多くの脆弱性を修正したYosemiteの2ndアップデート「OS X アップデート 10.10.2」をリリース

Apple、OS X 10.10ユーザー向けに「OS X Yosemite 10.10.2 Combo Update」を提供開始

Apple、OS X MavericksとMountain Lion向けに「セキュリティアップデート 2015-001 1.0」と「Safari 7.1.3/6.2.3」をリリース

コメント

  1. Apple7743 より:

    OS X 10,10限定Comboって、、、

  2. Apple7743 より:

    必要な事はやらんで不必要な事はするんやな

  3. Apple7743 より:

    今度こそクリーンインストで不具合一掃しようと思ってたのになんて事しやがるんだあああ