[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0727] [security-announce] APPLE-SA-2005-05-19 Mac OS X v10.4.1
- To: harden-mac@xxxxxxxxxx
- Subject: [harden-mac:0727] [security-announce] APPLE-SA-2005-05-19 Mac OS X v10.4.1
- From: "Kogule, Ryo" <kogule@xxxxxxxxxxxxxx>
- Date: Fri, 20 May 2005 18:48:08 +0900
---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された
APPLE-SA-2005-05-19 Mac OS X v10.4.1
という記事の翻訳です。この記事は以下の URL で見る事が出来ます。
<http://lists.apple.com/archives/security-announce/2005/May/
msg00004.html>
本翻訳は,米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり,本翻訳に関して Apple Computer,アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。
この投稿は翻訳者個人の発意による翻訳であり,本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------
APPLE-SA-2005-05-19 Mac OS X v10.4.1
Mac OS X v10.4.1 が入手可能になりました。これは以下のセキュリティ強
化を提供します。
Bluetooth
適用先: Mac OS X v10.4, Mac OS X Server v10.4
CVE-ID: CAN-2005-1333
問題の影響: Bluetooth ファイル・オブジェクト交換経由のディレク
トリ巡回
解説: 不適当な入力チェックの結果,Bluetooth ファイル・オ
ブジェクト交換サービスがデフォルトのファイル交換ディ
レクトリの外側のファイルにアクセスするために使われる
可能性がありました。この更新では,強化されたパス区切
り文字フィルタを追加することによって,この問題に対処
しています。この問題の報告は
kf_lists[at]digitalmunition[dot]com によるものです。
Dashboard
CVE-ID: CAN-2005-1474
適用先: Mac OS X v10.4, Mac OS X Server v10.4
問題の影響: 悪質なウェブサイトがセーフダウンロードバリデーション
の警告なしに Safari 経由でウィジェットをダウンロー
ド・インストールできる
解説: この更新では Dashboard ウィジェットの自動インストー
ルを遮断するようにします。Mac OS X のセーフダウンロー
ドバリデーション警告が有効になっている場合,Safari
が Dashboard ウィジェットをインストールする前に利用
者の承認が必要になります。この問題はバージョン 10.4
より前の Mac OS X には影響ありません。既にインストー
ルされた Dashboard ウィジェットを削除に関する詳細な
情報は,以下の記事にあります。
http://docs.info.apple.com/article.html?artnum=301629
Kernel
CVE-ID: CAN-2005-1472
適用先: Mac OS X v10.4, Mac OS X Server v10.4
問題の影響: 利用者が通常探すことができない場所にあるファイルの名
前を見つけることができる
解説: 効率的なファイルシステムオブジェクトの検索を行うため
に設計された二つのシステムコールが内包しているディレ
クトリのパーミッションを間違って検査しており,ファイ
ル名を露呈させていました。POSIX の読込みがなくグルー
プとその他の実行ビットがセットされている場合にのみ,
間違った検査が起ります。実際にはこの問題は,利用者の
~/パブリック/ドロップボックスに保存されているファイル
にのみ影響があります。この更新では,ディレクトリの
POSIX パーミッションビットを正しく尊重することでこの
問題に対処しています。この問題の報告は John M. Glenn
によるものです。
Kernel
CVE-ID: CAN-2005-0974
CERT: VU#713614
適用先: Mac OS X v10.4, Mac OS X Server v10.4
問題の影響: ローカルシステムの利用者がローカルでサービス拒否を引
き起せる
解説: 入力値の不適当なチェックが原因である nfs_mount() の脆
弱性により特権を持たないローカルの利用者がカーネルパ
ニックによりサービス拒否を作り出せました。
SecurityAgent
CVE-ID: CAN-2005-1473
適用先: Mac OS X v10.4, Mac OS X Server v10.4
問題の影響: ロックされたスクリーンセーバが動いているシステムへ物理
的にアクセスできる利用者がバックグランンドのアプリケー
ションを起動できる
解説: Mac OS X 10.4 のコンテキストメニュー機能では,テキス
ト入力フィールドから URL を開くことができます。これを
ロックされたスクリーンセーバウィンドウの裏でアプリケー
ションを起動することに使うことができます。この更新では,
スクリーンセーバのテキスト入力フィールドからコンテキス
トメニューを削除することにより,この問題に対処しています。
Mac OS X v10.4.1 はシステム環境設定のソフトウェアアップデート,もしく
は Apple の Sofware Downloads ウェブサイトから入手できます。
http://www.apple.com/support/downloads/
Mac OS X v10.4 用
ファイル名: "MacOSXUpdate10.4.1.dmg"
SHA-1 ダイジェスト: 7f4e0af21fff6cb80d271ccd9278637c660b51ad
Mac OS X Server v10.4 用
ファイル名: "MacOSXSvrUpdate10.4.1.dmg"
SHA-1 ダイジェスト: bf311da7dd3cc3f039ed9188412f8eaa994a4650
情報は Apple Product Security ウェブサイトにもあります。
http://docs.info.apple.com/article.html?artnum=61798
---------------------------------------------------------------
翻訳:古暮涼 <kogule@xxxxxxxxxxxxxx>
--[PR]------------------------------------------------------------------
┏━━━━┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃◎大注目┃ ≪山本KID徳郁≫所属ジム『KILLER BEE』公式サイトオープン★
┣━━━━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃★KID選手のBLOGも公開!!ナマの声がリアルタイムで見れるのはココだけ!!
┗ < http://killerbee.jp/ >
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online www.gmo.jp