JVNTA06-333A
Apple 社の Mac 製品に複数の脆弱性

Apple から Security Update 2006-007 がリリースされました。Mac OS X, Mac OS X Server, Safari web browser などに脆弱性が確認されています。

• Apple Mac OS X version 10.3.x and 10.4.x
• Apple Mac OS X Server version 10.3.x and 10.4.x
• Safari web browser

Intel および PowerPC ベースのシステムが影響を受けます。詳しくは、Apple Security Update 2006-007 をご確認下さい。

想定される影響は各脆弱性によって異なります。詳しくは Apple が提供する情報をご確認下さい。これらの脆弱性により、遠隔の第三者から任意のコードやコマンド実行、アクセス制限の迂回、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

1. US-CERT Vulnerability Note VU#835936
   Apple Type Services server font processing buffer overflow
2. US-CERT Vulnerability Note VU#247744
   OpenSSL may fail to properly parse invalid ASN.1 structures
3. US-CERT Vulnerability Note VU#870960
   Apple Mac OS X PPP driver fails to properly validate PADI packets
4. US-CERT Vulnerability Note VU#848960
   Apple Mac OS X WebKit deallocated object access vulnerability
5. US-CERT Vulnerability Note VU#258744
   Apple Mac OS X Finder fails to properly handle malformed .DS_Store files
6. US-CERT Vulnerability Note VU#423396
   X.509 certificate verification may be vulnerable to resource exhaustion
7. US-CERT Vulnerability Note VU#773548
   gzip contains a .bss buffer overflow in its LZH handling
8. US-CERT Vulnerability Note VU#554780
   gzip contains a buffer underflow
9. US-CERT Vulnerability Note VU#381508
   gzip contains an array out-of-bounds vulnerability in make_table()
10. US-CERT Vulnerability Note VU#596848
    gzip contains an infinite loop vulnerability in its LZH handling
11. US-CERT Vulnerability Note VU#845620
    Multiple RSA implementations fail to properly handle signatures
12. US-CERT Vulnerability Note VU#386964
    OpenSSL SSLv2 client code fails to properly check for NULL
13. US-CERT Vulnerability Note VU#547300
    OpenSSL SSL_get_shared_ciphers() vulnerable to buffer overflow
14. US-CERT Vulnerability Note VU#933712
    gzip NULL dereference in huft_build()

2006/12/11

ベンダ情報：富士通の情報を追加しました。