Appleは年2月1日(米国時間)、macOS Big Sur、macOS Catalina、macOS Mojaveのそれぞれのアップデートの提供を開始した。配信されたバージョンおよびアップデートは次のとおり。
- macOS Big Sur 11.2
- Security Update 2021-001 Catalina
- Security Update 2021-001 Mojave
アップデートで修正される脆弱性に関する情報は次のページにまとまっている。
修正対象となっている主な脆弱性は次のとおり。
- リモートから攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる脆弱性(Analytics、Crash Reporter、ImageIO、Kernel、OpenLDAP)
- リモートから攻撃者によって任意のコードが実行される脆弱性(CoreText、FontParser、ImageIO)
- リモートから攻撃者によってメモリリークを実行される脆弱性(FontParser)
- ローカルユーザーが特権昇格できる脆弱性(Crash Reporter、Endpoint Security、IOSkywalkFamily)
- ローカルユーザーが任意のファイルを読み込める問題(APFS)
- ローカルユーザーがシステムファイルを編集できる脆弱性(Crash Reporter)
- 細工されたWebコンテンツを処理することでコードまたは任意のコードが実行される脆弱性(CFNetwork Cache、CoreAudio、WebKit)
- 細工されたWebコンテンツを処理することでiframeサンドボックスポリシーに違反できる脆弱性(WebKit)
- 細工されたフォントファイルを処理することで任意のコードが実行される脆弱性(CoreGraphics、FontParser)
- 細工され画像を処理することで任意のコードが実行される脆弱性(CoreMedia、ImageIO)
- 細工されテキストファイルを処理することで任意のコードが実行される脆弱性(CoreText)
- 細工されUSDファイルを処理することで任意のコードが実行されたりヒープが破壊されたりする脆弱性(Model I/O)
- 細工されファイルを処理することでヒープが破壊される脆弱性(Model I/O)
- 細工され画像を処理することでヒープが破壊される脆弱性(Model I/O)
- 細工されたSambaネットワーク共有をマウントすることで任意のコードが実行される脆弱性(NetFSFramework)
- 悪意あるアプリケーションが特権昇格できる脆弱性(Kernel、Power Management)
- 悪意あるアプリケーションがシステム権限で任意のコードをできる脆弱性(IOKit、Kernel)
- 悪意あるアプリケーションが任意のコードを実行してユーザー情報を窃取できる脆弱性(CoreAnimation)
- 悪意あるアプリケーションがユーザー情報を窃取できる脆弱性(Directory Utility)
- 悪意あるアプリケーションがカーネルメモリにアクセスできる脆弱性(FairPlay)
Appleは、リモート攻撃で任意のコードが実行されるWebKitの脆弱性と、悪意あるアプリケーションが特権昇格できるカーネルの脆弱性について、活発に悪用されている事実があると説明している。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。