Apple、OS X El Capitan 10.11.2で修正された脆弱性リストを公開。悪意のあるアプリがSIPをバイパスし、任意のコードを実行できる脆弱性も。

　AppleがOS X El Capitan 10.11.2およびセキュリティアップデートで修正された脆弱性リストを公開しています。詳細は以下から。

　Appleは現地時間12月9日、El Capitan向けに「OS X El Capitan 10.11.2」を、Mavericks, Yosemite向けに「セキュリティアップデート」をリリースしましたが、このアップデートで修正された脆弱性リストも新たに公開しています。

修正された脆弱性

　CVEによると修正された脆弱性数は54個となっており、特に目立った脆弱性としてはセキュリティ研究家のFrederic Jacobsさんや、Patrick Wardleさんらが注目している「CVE-2015-7044」でこの脆弱性は「root権限を持った悪意のあるアプリが、AppleがEl Capitanから導入したステム整合性保護をバイパスし、任意のコードを実行できる可能性がある」というもので、OS X用の古いマルウェアMacDefenderというが発見者名として登録されています。

System Integrity Protection

Available for: OS X El Capitan v10.11 and v10.11.1
Impact: A malicious application with root privileges may be able to execute arbitrary code with system privileges
Description: A privilege issue existed in handling union mounts. This issue was addressed by improved authorization checks.
CVE-2015-7044 : MacDefender

About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple Support

　その他多くの脆弱性はAppleやGoogle Project Zero, Trend Micro、Mozillaなどが発見者として登録されていますが、日本のTsubasa IinumaさんやMuneaki NishimuraさんもSafariの脆弱性の発見に貢献されています。

CFNetwork HTTPProtocol

Available for: OS X El Capitan v10.11 and v10.11.1
Impact: An attacker with a privileged network position may be able to bypass HSTS
Description: An input validation issue existed within URL processing. This issue was addressed through improved URL validation.
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) of Gehirn Inc. and Muneaki Nishimura (nishimunea)

About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple

関連リンク

• About the security content of iOS 9.2 – Apple
• About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple
• OS X 10.11 El CapitanではSSDに配慮してファイルを削除する際の「確実にゴミ箱を空にする」オプションが削除