※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Apple は、Safari をバージョン 6.0.5 へアップデートすることで、複数の WebKit 問題を修正しました。
Safari 6.0.5 のこの 48.9 MB のアップデートでは、チャット機能およびゲームを搭載するいくつかのウェブサイトの安定性を向上させると共に、メモリ破損問題とクロスサイトスクリプト問題を含むWebKit が抱えるいくつかの問題のセキュリティ修正が含まれています。ちなみに、このソフトウェアアップデートは、Apple による Security Update 2013-002 の公開と同時に行なわれました。
Apple の Safari 6.0.5 アップデートは、 OS X Lion v10.7.5 、 OS X Lion Server v10.7.5 、そして OS X Mountain Lion v10.8.3 に対して公開されています:OS X Mountain Lion v10.8.4 には、 Safari 6.0.5 のコンテンツが含まれています。
Safari アップデートでは、 WebKit に存在する複数のメモリ破損問題に対応しています。
Apple の説明では、「悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある」とされます。
これらの問題は、メモリ処理の向上で解決されました。
CVE-2013-0879, CVE-2013-0991, CVE-2013-0992, CVE-2013-0993, CVE-2013-0994, CVE-2013-0995, CVE-2013-0996, CVE-2013-0997, CVE-2013-0998, CVE-2013-0999, CVE-2013-1000, CVE-2013-1001, CVE-2013-1002, CVE-2013-1003, CVE-2013-1004, CVE-2013-1005, CVE-2013-1006, CVE-2013-1007, CVE-2013-1008, CVE-2013-1009, CVE-2013-1010, CVE-2013-1011, CVE-2013-1023
上記の CVE の解決に加え、この Safari アップデートでは、 iframes の処理に存在したクロスサイトスクリプト問題(CVE-2013-1012)にも対応します。
Apple の説明では、「悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある」とされます。
この問題は、オリジンの追跡機能を改良することで解決されました。さらに、HTML ドキュメント内でコピー&ペーストされたデータの処理に存在するクロスサイトスクリプト問題 (CVE-2013-0926)にも、ペーストされたコンテンツの検証を強化することで対応しました。
最後に、このソフトウェアアップデートは、悪意を持って作成されたリンクが移動先のサイトで予期しない動作が生じる問題にも対応しています。
Apple は、この問題を「フォーム送信の動作が悪意を持って改変される可能性がある」(CVE- 2013-1013)とし、URL の検証を改善することで対応しています。
弊社では、おりに触れ、お使いのソフトウェア を定期的にアップデートすることの重要性について書いています。それがデジタルライフを保護し続ける重要な対策の一環なのです。アップデートで脆弱性を埋めることは、すなわち、ユーザの Mac への攻撃者による侵入を可能とする既知の問題の数を減らすことなのです。
Mac ユーザは、アップルメニュー > ソフトウェア・アップデートを選ぶことで(管理者パスワードを要求されたら入力してください)、最新の Safari アップデートをインストールできます。
Posted on June 4th, 2013 by Derek Erwin
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。