ニュース
Apple、Safariの脆弱性24件を含む96件の脆弱性を修正した「macOS Sierra 10.12.2」
2016年12月14日 14:15
Appleは13日、72件の脆弱性を修正したMac用OSの最新バージョン「macOS Sierra 10.12.2」をリリースした。
リモートからアプリケーションを終了したり任意のコードを実行できる可能性のあるPHP 5.6.26以前の脆弱性7件や、OpenSSLの脆弱性2件、ネットワーク上の特権的な地位を利用した攻撃者によって機密性の高いユーザー情報を漏えいさせられる可能性のあるcurlの脆弱性16件などが含まれるほか、任意のコードが実行される可能性があるもの、ローカルユーザーがroot権限を取得できる可能性のあるものなど、計72件の脆弱性が修正されている。
このうち、ローカルユーザーがサービスシステム拒否を引き起こす可能性のあるCoreCaptureの脆弱性と、ネットワーク上の特権的な地位を利用した攻撃者がサービス拒否を引き起こす可能性のあるLibreSSLの脆弱性については、OS X El Capitan向けにもアップデートが提供される。また、アプリケーションがカーネル権限で任意のコードを実行できる可能性があるBluetoothの脆弱性は、OS X YosemiteとOS X El Capitan向けにもアップデートが提供される。
ウェブブラウザー「Safari 10.0.2」は、macOS Sierra 10.12.2に加えて、OS X Yosemite、OS X El Capitan向けのアップデートに含まれて提供される。
悪意を持って作成されたウェブサイトを処理した際に、任意のコードが実行されたり、プロセスメモリやユーザー情報を開示する可能性があるWebKitの脆弱性23件が修正されている。また、Safariリーダーの機能を有効にすると、クロスサイトスクリプティングにつながる可能性がある脆弱性1件も修正されている。
このほか、Windows向けの「iTunes 12.5.4 for Windows」と「iCloud for Windows 6.1」でも、上記のWebKitにおける脆弱性23件が修正されている。また、iCloudでは、ローカルユーザーが機密性の高いユーザー情報を漏えいする可能性がある脆弱性1件も修正されている。
なお、12日に公開されたiOS 10.2のセキュリティ情報ページには、macOSと共通しているWebKitの脆弱性23件を含む52件の脆弱性について追記されており、iOS 10.2で修正された脆弱性は計64件となっている。また、12日に公開された「watchOS 3.1.1」について、アップデート中にエラーが表示されて動作しなくなる不具合により、日本時間の14日14時現在、公開が停止されている。