AppleがOS X El Capitan 10.11.2およびセキュリティアップデートで修正された脆弱性リストを公開しています。詳細は以下から。
Appleは現地時間12月9日、El Capitan向けに「OS X El Capitan 10.11.2」を、Mavericks, Yosemite向けに「セキュリティアップデート」をリリースしましたが、このアップデートで修正された脆弱性リストも新たに公開しています。
Apple、「OS X El Capitan アップデート 10.11.2」をリリース。Wi-Fi、Handoff、AirDropなどの信頼性を向上させメールの不具合を修正。 https://t.co/9SySYtSUYF https://t.co/cnPg824cFM
修正された脆弱性
CVEによると修正された脆弱性数は54個となっており、特に目立った脆弱性としてはセキュリティ研究家のFrederic Jacobsさんや、Patrick Wardleさんらが注目している「CVE-2015-7044」でこの脆弱性は「root権限を持った悪意のあるアプリが、AppleがEl Capitanから導入したステム整合性保護をバイパスし、任意のコードを実行できる可能性がある」というもので、OS X用の古いマルウェアMacDefenderというが発見者名として登録されています。
Frederic Jacobs@FredericJacobs
SIP was bypassed & will be again.
Huge potential for highly stealth rootkits.
https://t.co/YyuFKo484b https://t.co/dTaxabJBR4
&vquot;CVE-2015-7044 : MacDefender&vquot; …. like the malware!? or?https://t.co/mWS5QNGGNN
System Integrity Protection
Available for: OS X El Capitan v10.11 and v10.11.1
Impact: A malicious application with root privileges may be able to execute arbitrary code with system privileges
Description: A privilege issue existed in handling union mounts. This issue was addressed by improved authorization checks.
CVE-2015-7044 : MacDefenderAbout the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple Support
その他多くの脆弱性はAppleやGoogle Project Zero, Trend Micro、Mozillaなどが発見者として登録されていますが、日本のTsubasa IinumaさんやMuneaki NishimuraさんもSafariの脆弱性の発見に貢献されています。
今回のOSX/iOSのアップデートで、先日見つけたSafariのHSTS Bypassの脆弱性が修正されて名前が載りました!(CVE-2015-7094)
About the security content of iOS 9.2 - Apple SupportThis document describes the security content of iOS 9.2.
CFNetwork HTTPProtocol
Available for: OS X El Capitan v10.11 and v10.11.1
Impact: An attacker with a privileged network position may be able to bypass HSTS
Description: An input validation issue existed within URL processing. This issue was addressed through improved URL validation.
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) of Gehirn Inc. and Muneaki Nishimura (nishimunea)About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple
関連リンク
コメント
最近海外でmac storeの批判が激しくなったのと関係ありそう