Security Update 2005-008
月刊セキュリティアップデート。いろいろあったんだなぁ。
- ImageIO
- CVE-ID: CAN-2005-2747
- Mail
- CVE-ID: CAN-2005-2746
自動返信を行う「ルール」にて、暗号化メッセージが復号されて保存される問題の回避。
-
- CVE-ID: CAN-2005-2745(Pantherのみ)
SMTP認証の際にKerberos 5を用いていると、メッセージ中に認証情報が混じってしまう問題の回避。 MIT Kerberosチームによる回避。2005-007で解決されているとのこと。
- malloc
- CVE-ID: CAN-2005-2748
悪意あるローカルユーザが権限昇格できる脆弱性の解消。
- uickDraw Manager
- CVE-ID: CAN-2005-2744
PICT BOFによるコード実行脆弱性の回避。どーでもいいがMacOS 9以前でも発生するのではないかと(笑。
お、またHenrikですか。すごいなぁ。
アプレットの権限昇格問題の解消。QuickTime 7では問題なし。
- Ruby
- CVE-ID: CAN-2005-1992
XMLパースの際に外部コード実行が可能な脆弱性の解消。Tigerでは解消されていた。
- Safari
- CVE-ID: CAN-2005-2524
Safari 2.0の新機能、Web archiveを用いたXSS脆弱性の解消。かなり目鱗なアタック手法だ。
- SecurityAgent
- CVE-ID: CAN-2005-2742
スクリーンセーバのパスワードを、ユーザスイッチ機能を用いて物理的にマシンにアクセスできるユーザが回避できる脆弱性の解消。
- securityd
- CVE-ID: CAN-2005-2741