公開日:2006/11/30 最終更新日:2015/10/21

JVNTA06-333A
Apple 社の Mac 製品に複数の脆弱性

概要


Apple から Security Update 2006-007 がリリースされました。Mac OS X, Mac OS X Server, Safari web browser などに脆弱性が確認されています。

影響を受けるシステム


  • Apple Mac OS X version 10.3.x and 10.4.x
    • Apple Mac OS X Server version 10.3.x and 10.4.x
    • Safari web browser

    • Intel および PowerPC ベースのシステムが影響を受けます。詳しくは、Apple Security Update 2006-007 をご確認下さい。

    詳細情報

    想定される影響


    想定される影響は各脆弱性によって異なります。詳しくは Apple が提供する情報をご確認下さい。これらの脆弱性により、遠隔の第三者から任意のコードやコマンド実行、アクセス制限の迂回、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

    対策方法

    参考情報

    1. US-CERT Vulnerability Note VU#835936
      Apple Type Services server font processing buffer overflow
    2. US-CERT Vulnerability Note VU#247744
      OpenSSL may fail to properly parse invalid ASN.1 structures
    3. US-CERT Vulnerability Note VU#870960
      Apple Mac OS X PPP driver fails to properly validate PADI packets
    4. US-CERT Vulnerability Note VU#848960
      Apple Mac OS X WebKit deallocated object access vulnerability
    5. US-CERT Vulnerability Note VU#258744
      Apple Mac OS X Finder fails to properly handle malformed .DS_Store files
    6. US-CERT Vulnerability Note VU#423396
      X.509 certificate verification may be vulnerable to resource exhaustion
    7. US-CERT Vulnerability Note VU#773548
      gzip contains a .bss buffer overflow in its LZH handling
    8. US-CERT Vulnerability Note VU#554780
      gzip contains a buffer underflow
    9. US-CERT Vulnerability Note VU#381508
      gzip contains an array out-of-bounds vulnerability in make_table()
    10. US-CERT Vulnerability Note VU#596848
      gzip contains an infinite loop vulnerability in its LZH handling
    11. US-CERT Vulnerability Note VU#845620
      Multiple RSA implementations fail to properly handle signatures
    12. US-CERT Vulnerability Note VU#386964
      OpenSSL SSLv2 client code fails to properly check for NULL
    13. US-CERT Vulnerability Note VU#547300
      OpenSSL SSL_get_shared_ciphers() vulnerable to buffer overflow
    14. US-CERT Vulnerability Note VU#933712
      gzip NULL dereference in huft_build()

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory Technical Cyber Security Alert TA06-333A
    Apple Releases Security Update to Address Multiple Vulnerabilities
    CPNI Advisory
    TRnotes
    CVE CVE-2006-4400
    VU#835936
    CVE-2006-2937
    VU#247744
    CVE-2006-4406
    VU#870960
    CVE-2006-4412
    VU#848960
    CVE-2006-4402
    VU#258744
    CVE-2006-2940
    VU#423396
    CVE-2006-4337
    VU#773548
    CVE-2006-4336
    VU#554780
    CVE-2006-4335
    VU#381508
    CVE-2006-4338
    VU#596848
    CVE-2006-4339
    VU#845620
    CVE-2006-4343
    VU#386964
    CVE-2006-3738
    VU#547300
    CVE-2006-4334
    VU#933712
    JVN iPedia

    更新履歴

    2015/10/21
    ベンダ情報を更新しました