Appleは本日午後、Yosemite(8.0.6)、Mavericks(7.1.6)、Mountain Lion(6.2.6)向けのSafariアップデートをリリースしました。新バージョンには、WebKitの複数のメモリ破損問題が修正されています。Appleによると、これらの問題は、悪意のあるウェブサイトにアクセスした際に、任意のコードの実行やアプリケーションの予期せぬ終了につながる可能性があるとのことです。
以下は Apple のサポート ドキュメントのリリース ノートです。
ウェブキット
対象OS: OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10.3
影響: 悪意のあるウェブサイトにアクセスすると、予期せぬアプリケーションの終了や任意のコードの実行につながる可能性があります。
説明: WebKit に複数のメモリ破損の脆弱性がありました。これらの問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2015-1152 : アップル
CVE-2015-1153 : アップル
CVE-2015-1154 : アップル
WebKitの歴史
対象OS: OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10.3
影響: 悪意を持って作成されたウェブサイトにアクセスすると、ファイルシステム上のユーザー情報が危険にさらされる可能性があります。
説明:Safari に状態管理の脆弱性があり、権限のないオリジンがファイルシステム上のコンテンツにアクセスできてしまう可能性がありました。この問題は状態管理を改善することで解決されました。
CVE-ID
CVE-2015-1155 : HPのZero Day Initiativeに協力するRapid7 Inc.のJoe Vennix氏
WebKit ページの読み込み
対象OS: OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10.3
影響: リンクをクリックして悪意のあるウェブサイトにアクセスすると、ユーザーインターフェースの偽装につながる可能性があります。
説明: アンカー要素の rel 属性の処理に問題がありました。ターゲットオブジェクトがリンクオブジェクトに不正アクセスされる可能性がありました。この問題は、リンクタイプの準拠を改善することで解決されました。
CVE-ID
CVE-2015-1156 : Moodle の Zachary Durber 氏
Safari の最新バージョンは、Mac App Store の「アップデート」タブで見つかります。
