Apple、OS X El Capitan 10.11.2で修正された脆弱性リストを公開。悪意のあるアプリがSIPをバイパスし、任意のコードを実行できる脆弱性も。

スポンサーリンク

 AppleがOS X El Capitan 10.11.2およびセキュリティアップデートで修正された脆弱性リストを公開しています。詳細は以下から。


OS-X-El-Capitan-10-11-2-Combo-Update-Hero


 Appleは現地時間12月9日、El Capitan向けに「OS X El Capitan 10.11.2」を、Mavericks, Yosemite向けに「セキュリティアップデート」をリリースしましたが、このアップデートで修正された脆弱性リストも新たに公開しています。


修正された脆弱性

 CVEによると修正された脆弱性数は54個となっており、特に目立った脆弱性としてはセキュリティ研究家のFrederic Jacobsさんや、Patrick Wardleさんらが注目している「CVE-2015-7044」でこの脆弱性は「root権限を持った悪意のあるアプリが、AppleがEl Capitanから導入したステム整合性保護をバイパスし、任意のコードを実行できる可能性がある」というもので、OS X用の古いマルウェアMacDefenderというが発見者名として登録されています。

System Integrity Protection

Available for: OS X El Capitan v10.11 and v10.11.1
Impact: A malicious application with root privileges may be able to execute arbitrary code with system privileges
Description: A privilege issue existed in handling union mounts. This issue was addressed by improved authorization checks.
CVE-2015-7044 : MacDefender

About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple Support

 その他多くの脆弱性はAppleやGoogle Project Zero, Trend Micro、Mozillaなどが発見者として登録されていますが、日本のTsubasa IinumaさんやMuneaki NishimuraさんもSafariの脆弱性の発見に貢献されています。

CFNetwork HTTPProtocol

Available for: OS X El Capitan v10.11 and v10.11.1
Impact: An attacker with a privileged network position may be able to bypass HSTS
Description: An input validation issue existed within URL processing. This issue was addressed through improved URL validation.
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) of Gehirn Inc. and Muneaki Nishimura (nishimunea)

About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 – Apple

関連リンク

コメント

  1. Apple7743 より:

    最近海外でmac storeの批判が激しくなったのと関係ありそう