セキュリティポリシーによってこのアプリケーションの終了は制限されています

アプリケーションはJava 7 Update 51で実装されているセキュリティ・ガイドラインに準拠するため、実行中のアプリケーションがブロックされます。このアプリケーションの開発者または発行者に連絡して、アプリケーションがブロックされることについて通知してください。このアーキテクチャは iOS のセキュリティの中核をなすものであり、これによってデバイスのユーザビリティが損なわれることはありません。 iOS デバイスではハードウェア、ソフトウェア、サービスが密接に統合されているため、各システムコンテナセキュリティは、Linux コンテナの整合性を保護します。その対象には、維持されるアプリケーションから、基盤となるインフラストラクチャまでのすべてが含まれます。 Copyright © 2021 Apple Inc. All rights reserved. Higher Logic の Kevin G. Jones 氏, Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。. Copyright © 2021 Apple Inc. All rights reserved. CVE-2020-27897：Alibaba Inc. の Xiaolong Bai 氏および Min (Spark) Zheng 氏、インディアナ大学ブルーミントン校の Luyi Xing 氏. CVE-2020-27907：Trend Micro Zero Day Initiative に協力する ABC Research s.r.o. Wood 氏, 説明：RC4 暗号の脆弱性に対する既知の攻撃が認められています。サーバが RC4 より上位の暗号化を優先利用する設定になっていても、CFNetwork で SSL 3.0 が試行されるまで TLS 1.0 以上の接続をブロックして RC4 だけが許容される状況を作る手法で、攻撃者に RC4 の使用を強制される可能性がありました。この問題は、SSL 3.0 へのフォールバックを削除することで解決されました。, 説明：バックグラウンドで動作しているアプリケーションが、スクリーンのフレームバッファにアクセスできる状況でした。この問題は、IOSurfaces のアクセス制御を強化することで解決されました。, CVE-2015-5880：シンガポールマネージメント大学の School of Information Systems の Jin Han 氏、Su Mon Kywe 氏、Qiang Yan 氏、Robert Deng 氏、Debin Gao 氏、Yingjiu Li 氏、Cryptography and Security Department Institute for Infocomm Research の Feng Bao 氏および Jianying Zhou 氏, 説明：署名または復号化の試行を何回も観察することで、攻撃者が RSA 秘密鍵を特定できる可能性がありました。この問題は、暗号化アルゴリズムを改良することで解決されました。, 影響：悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある。, 説明：フォントファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、入力検証を強化することで解決されました。, CVE-2015-5874：Yahoo Pentest Team の John Villamil 氏 (@day6reak), 影響：悪意を持って作成されたテキストファイルを処理すると、任意のコードが実行される可能性がある。, 説明：テキストファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。, CVE-2015-5829：Safeye Team (www.safeye.org) の M1x7e1 氏, 影響：悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。, 説明：dyld にメモリ破損の問題が存在します。この問題は、メモリ処理を改善したことで解決されました。, 影響：ローカルユーザがシステム権限を取得し、任意のコードを実行できるようになる可能性がある。, 説明：DiskImages にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。, CVE-2015-5847：Filippo Bigarella 氏、Luca Todesco 氏, 説明：実行可能ファイルのコード署名の検証に問題がありました。この問題は、配列境界チェック機能を改善することで解決されました。, CVE-2015-5839：@PanguTeam、TaiG Jailbreak Team, 対象となるデバイス：iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降 Ltd. (インド、プネー) の Narendra Bhati 氏 (@imnarendrabhati) のご協力に感謝いたします。, Objective Development Software GmbH の Christian Starkjohann 氏のご協力に感謝いたします。, Offensive Security の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。, Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。. CVE-2020-10015：Trend Micro Zero Day Initiative に協力する ABC Research s.r.o. 説明：Siri へのリクエスト時に、クライアントサイドの制限がサーバによってチェックされていませんでした。この問題は、制限のチェックを強化することで解決されました。 CVE-ID. 拡張セキュリティによって、あるホストドメインの pdf が他のドメインと通信するのが制限されます。このアクションによって、pdf が信頼済みでない発信元から悪意のあるデータを受信することを回避できます。アプリケーションセキュリティグループ Application security groups. •説明: この設定では、別のアプリケーションからプログラムによって開かれたアプリケーションでマクロを実行できるかどうかを指定します。この設定はグローバルな設定であり、Excel 2016、PowerPoint 2016、および Word 2016 に適用されます。 WordPressは「プラグイン」と呼ばれる拡張機能があり、有志や愛好家が公開しているプログラムを追加することができます。影響：悪意のある Game Center アプリケーションが、プレイヤーのメールアドレスにアクセスできる可能性がある。, 説明：Game Center におけるプレイヤーのメールの処理に脆弱性が存在します。この問題は、アクセス制限を強化することで解決されました。, 説明：53.1.0 より前のバージョンの ICU に、複数の脆弱性が存在します。この問題は、ICU をバージョン 55.1 にアップデートすることで解決されました。, CVE-2015-5922：Google Project Zero の Mark Brand 氏, 影響：悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。, 説明：カーネルメモリコンテンツの漏洩につながる脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。, CVE-2015-5834：Alibaba Mobile Security Team の Cererdlong 氏, 説明：IOAcceleratorFamily にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。, 説明：IOHIDFamily にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。, 説明：カーネルにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。, 説明：IOMobileFrameBuffer にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。, 説明：カーネルのメモリ初期化に問題がありました。この問題は、メモリ処理を改良することによって解決されています。, CVE-2015-5863：IOActive の Ilja van Sprundel 氏, 影響：AppleID の資格情報がサインアウトした後もキーチェーンに残る可能性がある。, 説明：キーチェーンの削除処理に脆弱性が存在します。この問題は、アカウントのクリーンアップ処理を改良することで解決されました。, CVE-2015-5832：Check Point Software Technologies の Kasif Dekel 氏, 影響：悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。, 説明：WebKit にメモリ破損の脆弱性が存在します。これらの問題は、メモリ処理を改善することで解決されました。, 影響：ローカルユーザがカーネル特権を取得し、任意のコードを実行できるようになる可能性がある。, CVE-2015-5868：Alibaba Mobile Security Team の Cererdlong 氏, 説明：ユーザ空間のスタック Cookie の生成に複数の脆弱性が存在します。この問題は、スタック Cookie の生成を改良することで解決されました。, 影響：ローカルプロセスが、エンタイトルメントチェック不要でほかのプロセスを変更できる。, 説明：processor_set_tasks API を使うルートプロセスが、ほかのプロセスのタスクポートを取得できるという脆弱性が存在します。この問題は、エンタイトルメントチェックを追加することで解消されました。, CVE-2015-5882：Pedro Vilaça 氏 (Ming-chieh Pan 氏および Sung-ting Tsai による研究に基づく)、Jonathan Levin 氏, 影響：攻撃者が、正確なシーケンス番号を知らなくても、ターゲットの TCP 接続に対してサービス運用妨害攻撃を仕掛けることができる。, 説明：xnu による TCP パケットヘッダの検証に問題がありました。この問題は、TCP パケットヘッダの検証を強化することで解決されました。, 影響：ローカル LAN セグメントで攻撃者に IPv6 ルーティングを無効にされる可能性がある。, 説明：IPv6 ルーターアドバタイズメント (RA) の処理に検証不備の脆弱性があり、攻撃者にホップ制限を任意の値に設定される可能性がありました。この問題は、ホップ制限に最小値を課すことで解決されました。, 説明：XNU にカーネルメモリの漏洩につながる脆弱性がありました。この問題は、カーネルメモリ構造の初期化処理を改善することで解消されました。, 説明：HFS ドライブのマウント処理に脆弱性が存在します。この問題は、検証チェックを強化することで解決されました。, 説明：fflush 関数にメモリ破損の問題が存在します。この問題は、メモリ処理を改良することによって解決されています。, CVE-2014-8611：Norse Corporation の Adrian Chadd 氏および Alfred Perlstein 氏, CVE-2015-5899：Qihoo 360 Vulcan Team の Lufeng Li 氏, 影響：攻撃者が送信したメールの送信元を、受信者のアドレス帳に登録されている連絡先であるかのように偽装できる。, 説明：送信元アドレスの処理に脆弱性が存在します。この問題は、検証を強化することで解決されました。, CVE-2015-5857：salesforce.com の Emre Saglam 氏, 影響：ローカルの攻撃者が、保護されていないマルチピアデータを観察できる可能性がある。, 説明：コンビニエンスイニシャライザの処理に脆弱性が存在し、これを悪用され、暗号化を非暗号化セッションにダウングレードされる可能性がありました。この問題は、コンビニエンスイニシャライザで暗号化を必須に変更することで解決されました。, CVE-2015-5851：Data Theorem の Alban Diquet 氏 (@nabla_c0d3), 説明：カーネルに未初期化メモリの脆弱性が存在し、カーネルメモリコンテンツが漏洩する可能性があります。この問題は、メモリの初期化により解決されました。, 説明：0.9.8zg より前のバージョンの OpenSSL に複数の脆弱性が存在します。これらの問題は、OpenSSL をバージョン 0.9.8zg にアップデートすることで解決されました。, 影響：悪意のあるエンタープライズアプリケーションにより、そのアプリケーションが信頼される前に機能拡張をインストールされる可能性がある。, 説明：インストール中の機能拡張の検証に問題がありました。この問題は、アプリケーションの検証を強化することで解決されました。, CVE-2015-5837：FireEye, Inc. の Zhaofeng Chen 氏、Hui Xue 氏、および Tao (Lenx) Wei 氏, 影響：悪意のあるデータを処理すると、アプリケーションが予期せず終了する可能性がある。, 説明：checkint division ルーチンに、オーバーフロー違反になる脆弱性が存在します。この問題は、division ルーチンを改良することで解決されました。, 影響：ローカルのユーザが、ロックされた iOS デバイス上の Safari ブックマークをパスコードがなくても読み取れる可能性がある。, 説明：Safari のブックマークデータの暗号化に使われているキーが、ハードウェア UID のみで保護されていました。この問題は、Safari のブックマークデータをハードウェア UID とユーザのパスコードで保護されたキーで暗号化することで解決されました。, 影響：悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。, 説明：Web サイトで、別の Web サイトからの URL のコンテンツを表示できる脆弱性があります。この問題は、URL の処理を改善することで解決されました。, CVE-2015-5904：Facebook の Erling Ellingsen 氏、Łukasz Pilorz 氏, 説明：ウインドウオープナー (window opener) が細工された悪意のある Web サイトにアクセスすると、任意の URL が表示される可能性がある。この問題は、ウインドウオープナーの処理を改善することで解決されました。, CVE-2015-5905：keitahaga.com の Keita Haga 氏, 影響：悪意のある Web サイトにより、クライアント証明書を利用してユーザを追跡される可能性がある。, 説明：SSL 認証時の Safari によるクライアント証明書の照合に問題があります。この問題は、有効なクライアント証明書の照合を強化することで解消されました。, CVE-2015-1129 : fluid Operations AG の Stefan Kraus 氏、Whatever s.a. の Sylvain Munaut 氏, 説明：ユーザインターフェイスに複数の不整合があり、悪意のある Web サイトがこれを悪用し、任意の URL を表示できる可能性がありました。この問題は、URL の表示ロジックを改善することで解決されました。, CVE-ID 64 ビット版の Windows 8.1 が動作するコンピューターで、セキュリティキーボードは表示されても保護されたブラウザーが開始されない場合、スクリーンショットの撮影からの保護機能は利用できません。 CVE-2020-27919：Qihoo 360 CERT の Hou JingYi 氏 (@hjy79425575)、Ant Security Light-Year Lab の Xingwei Lin 氏, 影響：リモートの攻撃者にシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。, CVE-2020-9967：Alex Plaskett 氏 (@alexjplaskett), CVE-2020-27921：Linus Henze 氏 (pinauten.de), 説明：ロジックに脆弱性があり、メモリ破損が起きていました。この問題は、ステート管理を改善することで解決されました。, CVE-2020-27904：Ant Group Tianqong Security Lab の Zuozhi Fan 氏 (@pattern_F_), 影響：ネットワーク上の特権的な地位を悪用した攻撃者が、VPN トンネル内のアクティブな接続にインジェクション攻撃をしかけることができる。, CVE-2019-14899：William J. Tolley 氏、Beau Kujath 氏、Jedidiah R. Crandall 氏, 影響：悪意のあるアプリケーションによって、カーネルメモリが漏洩する可能性がある。Apple では、この脆弱性を悪用したエクスプロイト (攻撃) が確認されている旨の報告を受けています。, 影響：悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。, 影響：悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性を悪用したエクスプロイト (攻撃) が確認されている旨の報告を受けています。, 説明：ステート処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。, 影響：悪意を持って作成された Web コンテンツを処理すると、コードが実行される可能性がある。, 影響：リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。, CVE-2020-9971：Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09), 影響：悪意のあるアプリケーションがサンドボックスを破って外部で実行される可能性がある。, 説明：ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。, CVE-2020-10014：Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09), CVE-2020-9941：ミュンスター応用科学大学 (FH Münster University of Applied Sciences) の Fabian Ising 氏、ミュンスター応用科学大学の Damian Poddebniak 氏, 影響：悪意を持って作成された USD ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。, CVE-2020-10011：Cisco Talos の Aleksandar Nikolic 氏, CVE-2020-13524：Cisco Talos の Aleksandar Nikolic 氏, 影響：悪意を持って作成されたファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。, CVE-2020-10004：Cisco Talos の Aleksandar Nikolic 氏, CVE-2020-9996：Trend Micro iCore Team の Zhiwei Yuan 氏、Trend Micro の Junzhi Lu 氏および Mickey Jin 氏, 影響：サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。, CVE-2020-27901：Computest Research Division の Thijs Alkemade 氏, 影響：悪意のあるアプリケーションが、アクセス権がないファイルをプレビューできる可能性がある。, 説明：スナップショットの処理に脆弱性がありました。アクセス権のロジックを改善することで、この問題は解決されました。, CVE-2020-27900：Computest Research Division の Thijs Alkemade 氏, CVE-2020-10007：Trend Micro Zero Day Initiative に協力する singi@theori 氏, 影響：ある生成元 (origin) の Cookie が別の生成元に送信されることがある。, 影響：悪意のある App が、コンピュータ上のファイルの有無を判断できる可能性がある。, CVE-2020-9963：Offensive Security の Csaba Fitzl 氏 (@theevilbit), 影響：悪意を持って作成された書類を処理すると、クロスサイトスクリプティング攻撃につながるおそれがある。, CVE-2020-10012：KnownSec 404 Team (https://www.knownsec.com/) の Heige 氏および Palo Alto Networks (https://www.paloaltonetworks.com/) の Bo Qu 氏, 影響：特定の JSON ドキュメントを解析 (パース) する際に、json gem に対象システムで任意のオブジェクトを作成させることができる。, 影響：悪意のある Web サイトにアクセスすると、アドレスバーを偽装される可能性がある。, 説明：URL の処理に、偽装の脆弱性がありました。入力検証を強化し、この脆弱性に対処しました。, CVE-2020-9945：Suma Soft Pvt. CVE-2015-5764：Adobe の Antonio Sanso 氏 (@asanso), CVE-2015-5767：Krystian Kloskowski 氏 (Secunia 経由)、Masato Kinugawa 氏, iPhone 4s 以降、iPod touch (第 5 世代以降)、iPad 2 以降, 影響：悪意のある Web サイトであることが判明しているサイトの IP アドレスにアクセスしても、セキュリティ警告が表示されないことがある。, 説明：Safari の Safe Browsing 機能が、悪意のある Web サイトであることが判明しているサイトの IP アドレスにアクセスしたときに、ユーザに警告を発しませんでした。この問題は、悪意のあるサイトの検出を強化することで解決されました。, 説明：悪意のある App に、App 間の URL スキーム通信を傍受される脆弱性が存在します。この問題の対策として、URL スキームの初回利用時にダイアログが表示されるようになりました。, CVE-2015-5835：FiftyTwoDegreesNorth B.V. の Teun van Run 氏、インディアナ大学の XiaoFeng Wang 氏、インディアナ大学の Luyi Xing 氏、北京大学の Tongxin Li 氏、清華大学の Xiaolong Bai 氏, 影響：iOS デバイスに物理的にアクセスできる人物が、Siri を使って、ロック画面に表示しない設定になっているコンテンツの通知を読み取れる可能性がある。, 説明：Siri へのリクエスト時に、クライアントサイドの制限がサーバによってチェックされていませんでした。この問題は、制限のチェックを強化することで解決されました。, CVE-2015-5892：Robert S Mozayeni 氏、Joshua Donvito 氏, 影響：iOS デバイスに物理的にアクセスできる人物が、ロック画面でのメッセージのプレビューが無効になっていても、ロック画面からオーディオメッセージに返信できる可能性がある。, 説明：ロック画面に脆弱性があり、メッセージのプレビューが無効になっていてもオーディオメッセージに返信できました。この問題は、ステート管理を改善することで解決されました。, CVE-2015-5861：Meridian Apps の Daniel Miedema 氏, 影響：悪意のあるアプリケーションに、別のアプリケーションのダイアログウインドウを偽装される可能性がある。, 説明：特権のある API コールにアクセス関連の脆弱性がありました。この問題は、制限を追加することで解決されました。, CVE-2015-5838：Min (Spark) Zheng 氏、Hui Xue 氏、Tao (Lenx) Wei 氏、John C.S. この設定値は、行セキュリティポリシーの適用によってエラーを生じさせるかどうかを制御します。 onに設定すると、通常通りポリシーが適用されます。 offにすると、少なくともひとつのポリシーが適用されたクエリは失敗します。デフォルトはonです。この通信には、セキュリティ設定のアップデート、ハートビートの処理、およびイベントログの要求が含まれます。エージェントが開始しました: エージェントはWorkload Securityからの接続を待機しませ … 独自のセキュリティポリシーを実装して Salesforce 組織を保護します。ユーザ ID を確認し、特定のアプリケーションやデータへのアクセスを制御し、オブジェクトや項目データを安全に共有し、データを暗号化し、変更を監査することによって、信頼を高めます。 Office の Application Guard を有効にするにはどうすればよいですか? macOS Big Sur 11.0.1 のセキュリティコンテンツについて説明します。, Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。, Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。, セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。, 対象 OS：Mac Pro (2013 以降)、MacBook Air (2013 以降)、MacBook Pro (Late 2013 以降)、Mac mini (2014 以降)、iMac (2014 以降)、MacBook (2015 以降)、iMac Pro (すべてのモデル), 影響：悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。, CVE-2020-27914：Didi Research America の Yu Wang 氏, CVE-2020-27915：Didi Research America の Yu Wang 氏, CVE-2020-27903：Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09), 影響：悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性がある。, CVE-2020-27910：Ant Security Light-Year Lab の JunDong Xie 氏および XingWei Lin 氏, CVE-2020-27916：Ant Security Light-Year Lab の JunDong Xie 氏, 説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。, CVE-2020-9943：Ant Group Light-Year Security Lab の JunDong Xie 氏, CVE-2020-9944：Ant Group Light-Year Security Lab の JunDong Xie 氏, 影響：リモートの攻撃者が、アプリケーションを突然終了させたり、ヒープ破損を引き起こしたりするおそれがある。, CVE-2020-27906：Ant Group Tianqiong Security Lab の Zuozhi Fan 氏 (@pattern_F_), CVE-2020-27908：Ant Security Light-Year Lab の JunDong Xie 氏および XingWei Lin 氏, CVE-2020-27909：Trend Micro Zero Day Initiative に協力する匿名の研究者、Ant Security Light-Year Lab の JunDong Xie 氏および XingWei Lin 氏, CVE-2020-9960：Ant Security Light-Year Lab の JunDong Xie 氏および XingWei Lin 氏, CVE-2020-10017：Trend Micro Zero Day Initiative に協力する Francis 氏、Ant Security Light-Year Lab の JunDong Xie 氏, 影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。, 説明：メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。, 影響：悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。, CVE-2020-9883：匿名の研究者、Trend Micro の Mickey Jin 氏, 説明：シンボリックリンクのパス検証ロジックに脆弱性が存在します。この問題は、パスのサニタイズ処理を改善することで解決されました。, CVE-2020-10003：Leviathan の Tim Michaud 氏 (@TimGMichaud), 影響：悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある。, CVE-2020-27922：Trend Micro の Mickey Jin 氏, 影響：悪意を持って作成されたテキストファイルを処理すると、任意のコードが実行される可能性がある。, CVE-2020-27894：Shuggr (shuggr.com) の Manuel Trezza 氏, CVE-2020-9962：Yiğit Can YILMAZ 氏 (@yilmazcanyigit), CVE-2020-27952：匿名の研究者、Trend Micro の Mickey Jin 氏および Junzhi Lu 氏, CVE-2020-9956：Trend Micro の Zero Day Initiative に協力する Trend Micro Mobile Security Research Team の Mickey Jin 氏および Junzhi Lu 氏, 説明：フォントファイルの処理に、メモリ破損の脆弱性が存在します。入力検証を強化し、この脆弱性に対処しました。, 影響：悪意を持って作成されたフォントを処理すると、任意のコードが実行される可能性がある。Apple では、この脆弱性を悪用したエクスプロイト (攻撃) が確認されている旨の報告を受けています。, 説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。, CVE-2020-27927：Ant Security Light-Year Lab の Xingwei Lin 氏, 影響：ネットワーク上の特権的な地位を悪用した攻撃者に、アプリケーションの状態を予期せず改ざんされる場合がある。, CVE-2020-9978：インディアナ大学ブルーミントン校の Luyi Xing 氏、Dongfang Zhao 氏、および Xiaofeng Wang 氏、西安電子科技大学 (Xidian University) および中国科学院大学 (University of Chinese Academy of Sciences) の Yan Jia 氏、華中科技大学 (HuaZhong University of Science and Technology) の Bin Yuan 氏, CVE-2020-9955：Trend Micro の Mickey Jin 氏、Ant Security Light-Year Lab の Xingwei Lin 氏, CVE-2020-27912：Ant Security Light-Year Lab の Xingwei Lin 氏, 影響：悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。. 影響：悪意のあるアプリケーションに、制限されたファイルにアクセスされる可能性がある。説明：この問題は、エンタイトルメントを改善することで解決されました。 CVE-2020-10006：SecuRing の Wojciech Reguła 氏 (@_r3ggi) Application Guard は現在、パブリックプレビューに含まれており、 microsoft 365 e5 または Microsoft 365 E5 Mobility + セキュリティライセンスを持っている参加組織が利用できます。これらの組織のユーザーは、ベータ版の企業用の … このような状態となった場合、悪意のある第三者はWordPressのすべての機能を使用することができます。プラグインの悪用. Oracle Cloud Infrastructureにサインアップする場合、テナンシにサービス制限のセットが構成されます。サービス制限は、リソースに設定された割当てまたは許容量です。たとえば、テナンシは可用性ドメイン当たりのコンピュート・インスタンスの最大数を許可されています。これらの制限は通常、Oracle Cloud Infrastructureを購入したときにOracle営業担当と一緒に確立されます。Oracle営業担当者に制限を設定しなかった場合、またはOracle Storeを介してサインアップした場合は、デフォルトまたはトラ … 上記のエラーは、アプリケーションの実行だけでなく、アプリケーションのインストール時に発生してインストールができないケースもあります。今回は、Windows10で「このアプリはシステム管理者によってブロックされています」の対処法を解説します。ビジネス向け Android デバイスポリシーでは、パスワードポリシー、制限、Wi-Fi 設定など、Android デバイス用のさまざまなオプションを設定します。このポリシーは、ビジネス向け Android (デバイス所有者モード) で Sophos Mobile に登録されているデバイスに適用します。スクリーンショットの撮影からの保護の制限. Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。, Apple Product Security PGP キーについては、こちらの記事を参照してください。, 影響：一部のカードで、決済時に最近の一部のトランザクション情報を端末に取得される可能性がある。, 説明：トランザクションのログ機能が、特定の構成で有効になっていました。この問題は、トランザクションのログ機能を削除することで解決されました。この問題は、iPad デバイスには影響がありません。, 対象となるデバイス：iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降, 影響：ローカルの攻撃者に、iOS バックアップを介して、パスコードの入力試行の失敗回数をリセットされる可能性がある。, 説明：iOS デバイスのバックアップを使ってパスコードの入力試行の失敗回数をリセットする処理に問題がありました。この問題は、パスコードの入力失敗時のロジックを改良することで解決されました。, 影響：悪意のある ITMS リンクをクリックすると、エンタープライズによる署名済みのアプリケーションでサービス運用妨害状態につながる可能性がある。, 説明：ITMS リンクを介したインストールに脆弱性が存在します。この問題は、インストールの検証を追加することで解決されました。, CVE-2015-5856：FireEye, Inc. の Zhaofeng Chen 氏、Hui Xue 氏、および Tao (Lenx) Wei 氏, 影響：悪意のあるオーディオファイルを再生すると、アプリケーションが予期せず終了する可能性がある。, 説明：オーディオファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することで解決されました。, CVE-2015-5862：情報セキュリティ研究室の YoungJin Yoon 氏。(指導教官：Taekyoung Kwon 教授), 説明：証明書信頼ポリシーがアップデートされました。証明書の一覧は、こちらの記事でご確認いただけます。, 影響：悪意を持って作成された URL を介して、HSTS (HTTP Strict Transport Security) を回避され、重要なデータが漏洩する可能性がある。, 説明：HSTS の処理における URL 解析に脆弱性が存在します。この問題は、URL 解析を強化することで解決されました。, CVE-2015-5858：清華大学の Blue Lotus Team の Xiaofeng Zheng 氏, 影響：Safari のプライベートブラウズモードで、悪意のある Web サイトによってユーザが追跡される可能性がある。, 説明：Safari のプライベートブラウズモードでの HSTS ステートの処理に問題がありました。この問題は、ステータス処理を改善することで解決されました。, CVE-2015-5860：RadicalResearch Ltd の Sam Greenhalgh 氏, 影響：iOS デバイスに物理的にアクセスできる人物に、Apple の App からキャッシュデータを読み取られる可能性がある。, 説明：キャッシュデータの暗号化に使われているキーが、ハードウェア UID のみで保護されていました。この問題は、キャッシュデータをハードウェア UID とユーザのパスコードで保護されたキーで暗号化することで解決されました。, CVE-2015-5898：NESO Security Labs の Andreas Kurtz 氏, 影響：ネットワーク上の特権的な地位を悪用した攻撃者に、ユーザのアクティビティを追跡される可能性がある。, 説明：最上位ドメインの処理に、クロスドメイン Cookie に関する問題がありました。この問題は、Cookie 作成の制限を改善することで解決されました。, CVE-2015-5885：清華大学の Blue Lotus Team の Xiaofeng Zheng 氏, 影響：攻撃者により、Web サイトに対して意図しない Cookie を作成される可能性がある。, 説明：WebKit が、document.cookie API への複数の Cookie の設定を許容していました。この問題は、解析を強化することで解決されました。, CVE-2015-3801：Facebook の Erling Ellingsen 氏, 影響：悪意のある FTP サーバが、クライアントによるほかのホストの偵察を誘発できる可能性がある。, 説明：PASV コマンド使用時の FTP パケットの処理に問題がありました。この問題は、検証を強化することで解決されました。, 影響：ネットワーク上で特権的な地位を悪用した攻撃者が、ネットワークトラフィックを傍受できる可能性がある。, 説明：Safari のプライベートブラウズモードで、HSTS プリロードリストエントリの処理に問題がありました。この問題は、ステータス処理を改善することで解決されました。, CVE-2015-5859：ルクセンブルク大学の Rosario Giustolisi 氏, 影響：悪意のある Web プロキシに接続すると、Web サイトに悪意のある Cookie が設定される可能性がある。, 説明：プロキシ接続のレスポンスの処理に脆弱性が存在します。この問題は、接続リクエストに対するレスポンスの解析時に、set-cookie ヘッダを削除することで解決されました。, CVE-2015-5841：清華大学の Blue Lotus Team の Xiaofeng Zheng 氏, 影響：ネットワーク上で特権的な地位を悪用した攻撃者が、SSL／TLS で保護された接続を傍受できる可能性がある。, 説明：証明書の変更時の NSURL における証明書の検証に問題がありました。この問題は、証明書の検証を強化することで解決されました。, CVE-2015-5824：The Omni Group の Timothy J. アドビが Creative Cloud アプリケーションに対して提供するサポートのレベルは、Creative Cloud のプランによって異なります。どの役割のユーザーも、このポリシーでサポート対象のアプリケーションバージョンと Creative Cloud プランのサポート期間を確認できます。このプライバシーポリシーは、ESET Password Managerアプリケーション(「アプリケーション」)のダウンロード、プロビジョニングおよび使用、ならびにアプリケーションに関連するサービス(「サービス」)の提供に適用されます。 Ltd. (インド、プネー) の Narendra Bhati 氏 (@imnarendrabhati), 影響：悪意のあるアプリケーションが、Safari でユーザが開いているタブを判断できる可能性がある。, 説明：エンタイトルメントの確認処理に検証不備の脆弱性がありました。この問題は、プロセスエンタイトルメントの検証を強化することで解決されました。, CVE-2020-9977：Josh Parnham 氏 (@joshparnham), CVE-2020-9942：匿名の研究者、Rahul d Kankrale 氏 (servicenger.com)、The City School, PAF Chapter の Rayyan Bijoora 氏 (@Bijoora)、Tencent Security Xuanwu Lab の Ruilin Yang 氏、PT Telekomunikasi Indonesia (Persero) Tbk の YoKo Kho 氏 (@YoKoAcc)、OPPO ZIWU Security Lab の Zhiyang Zeng 氏 (@Wester), CVE-2020-9969：SecuRing の Wojciech Reguła 氏 (wojciechregula.blog), 説明：SQLite をバージョン 3.32.3 にアップデートして、複数の脆弱性に対処しました。, 影響：悪意を持って作成された SQL クエリによって、データが破損するおそれがある。, CVE-2020-10009：Computest Research Division の Thijs Alkemade 氏, 影響：悪意のあるアプリケーションに root 権限を取得され、非公開の情報にアクセスされる可能性がある。, CVE-2020-10008：SecuRing の Wojciech Reguła 氏 (wojciechregula.blog), 影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。, CVE-2020-27918：Ant Security Light-Year Lab の Liu Long 氏, 影響：攻撃者が Managed Frame Protection を回避できる可能性がある。, CVE-2020-27898：ヨハネスブルグ大学の Stephan Marais 氏, 影響：悪意のあるアプリケーションに、制限されたファイルにアクセスされる可能性がある。, CVE-2020-10006：SecuRing の Wojciech Reguła 氏 (@_r3ggi), ハマド・ビン・ハリーファ大学 (Hamad bin Khalifa University) の Kenana Dalle 氏、カーネギーメロン大学カタール校 (Carnegie Mellon University) の Ryan Riley 氏のご協力に感謝いたします。, Ant-financial Light-Year Security Lab の JunDong Xie 氏および XingWei Lin 氏、匿名の研究者のご協力に感謝いたします。, NCC Group の Andy Davis 氏、ダルムシュタット工科大学 (TU Darmstadt) Secure Mobile Networking Lab の Dennis Heinze 氏 (@ttdennis) のご協力に感謝いたします。, Google Project Zero の Brandon Azad 氏のご協力に感謝いたします。, Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。, SecuRing の Wojciech Reguła 氏 (@_r3ggi) のご協力に感謝いたします。, Google Project Zero の Brandon Azad 氏、Google の Stephen Röttger 氏のご協力に感謝いたします。, Csaba Fitzl 氏 (@theevilbit) および SecuRing の Wojciech Reguła 氏 (wojciechregula.blog) のご協力に感謝いたします。, Gabriel Corona 氏および Suma Soft Pvt. Protect Against Document Structure Threats アサーションを使用すると、サイズ超過のファイルを使用した XDoS （XML サービス拒否）攻撃を防ぐために受信 XML リクエストのサイズ制限を指定できます。この調査は信頼できる外部機関によって実施されます。犯罪歴の有無、雇用歴、学歴の確認が行われ、この調査が完了するまでその従業員にはユーザーにリスクを与える可能性のあるタスクは割り当てられ … この脆弱性はすでに修正されていますが、WhatsAppはビジネスクラスの保護機能を備えているわけではないので、この手の情報を早く掴めるように、サイバーセキュリティのニュースには日ごろから注意する必要があります。 Windows7のサポートが終了。セキュリティ更新プログラムが提供されなくった代わりに『ウイルスバスター』などのウイルス対策アプリを導入すれば大丈夫か？その答えはNoだ。サポート期間中にセキュリティ更新プログラムを自動配信するWindows Update、OS標準のウイルス対策アプリ … 本連載第4回（「まだあるぞ！グループポリシーの“鉄板”設定パート2」）でも解説したが、会社のPCで業務とは無関係のアプリケーションが実行されてしまうと、生産性が低下したり、そのアプリケーションが持つ特性や不具合から情報漏えいにつながったりする危険性がある。そのため、アプリケーションの実行制御は、組織におけるクライアント管理の重要な一項目となっている。サードパーティ製のソリューションでアプリケーションの実行を制御することも選択肢の一つだが、Windows Serverに … ラテラルムーブメントとは、組織のネットワークへの侵入に成功したマルウェアが、OSの正規の機能を悪用し、内部偵察、資格奪取、組織内の感染領域を広げる行動のことを指し、攻撃プロセスにおける感染拡大フェーズで実行されます。ここでは、setcap/getcap というコマンドを利用したが、Dockerの実装では、Linux システムコールによって、権限の制限を実施している。このような権限の操作は、コンテナ上のアプリに影響しないが、悪意のあるユーザーによる攻撃の方法を大幅に減らす。このトピックでは、Javaクライアントのセキュリティ・レベル、ポリシー・ファイル、権限およびセキュリティ・ダイアログについて説明します。これらのセキュリティ機能によって、ユーザーは、JavaおよびJavaFXアプリケーションが実行できることを制御できます。アプリケーションをすべて終了し、'AceRedist ドライバ' を次の AutoCAD Electrical インストールメディアのフォルダからインストールしてください。この起動エラーでは acewstr.dll が言及される場合があり、イベントログで Microsoft.ACE.OLEDB.12.0 のクラッシュが参照される場合もあります。 CVE-2015-5892：Robert S Mozayeni 氏、Joshua Donvito 氏. SpringBoard 02/27/2020; K; o; この記事の内容. 64 ビット版オペレーティングシステムにインストールされたカスペルスキーインターネットセキュリティ 2019 では、以下の機能の動作が制限されます。スクリーンショットの撮影からの保護; アプリケーションの権限の設定セキュリティポリシー上、この辺は制限される事も多いですが、http 80、https（暗号化用）443は通常閉じません。危険性？ WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。 Lui 氏, 説明：SQLite v3.8.5 に複数の脆弱性が存在します。この問題は、SQLite をバージョン 3.8.10.2 にアップデートすることで解決されました。, 説明：Tidy にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を強化することで解決されました。, CVE-2015-5522：NULLGroup.com の Fernando Muñoz 氏, CVE-2015-5523：NULLGroup.com の Fernando Muñoz 氏, 影響：カスタムイベント、メッセージイベント、pop ステートイベントの分離したオリジン間で、オブジェクト参照が漏洩する可能性がある。, 説明：オブジェクト漏洩の脆弱性があり、オリジン間の分離境界が破られていました。この問題は、オリジン間の分離を強化することで解決されました。, 影響：悪意のある Web サイトにアクセスすると、意図しないダイヤル操作を誘発される可能性がある。, 説明：tel://、facetime://、および facetime-audio:// の URL の処理に脆弱性が存在します。この問題は、URL の処理を改善することで解決されました。, CVE-2015-5820：Guillaume Ross 氏、Andrei Neculaesei 氏, 影響：QuickType が、記入済みの Web フォームのパスワードの末尾の文字を記憶できる。, 説明：WebKit によるパスワード入力コンテキストの処理に問題がありました。この問題は、入力コンテキストの処理を改善することで解決されました。, CVE-2015-5906：Google Inc. の Louis Romero 氏, 影響：ネットワーク上の特権的な地位を悪用した攻撃者により、悪意のあるドメインにリダイレクトされる可能性がある。, 説明：不正な証明書を使うサイトのリソースキャッシュの処理に問題がありました。この問題は、不正な証明書を使うドメインのアプリケーションキャッシュを拒否することで解決されました。, CVE-2015-5907 : シンガポール国立大学 (NUS) の Yaoqi Jia 氏, 影響：悪意のある Web サイトに、データをクロスオリジンで取得される可能性がある。, 説明：Safari が、CSS MIME タイプが指定されていないクロスオリジンのスタイルシートの読み込みを許容していたため、これを悪用され、データをクロスオリジンで取得される可能性があります。この問題は、クロスオリジンのスタイルシートの MIME タイプを制限することで解決されました。, CVE-2015-5826：filedescriptor、Chris Evans 氏, 影響：Performance API が悪意のある Web サイトに悪用され、閲覧履歴、ネットワークアクティビティ、およびマウスの動きが漏洩する可能性がある。, 影響：WebKit の Performance API は、悪意のある Web サイトに悪用され、時間の計測時に閲覧履歴、ネットワークアクティビティ、およびマウスの動きを漏洩する可能性があります。この問題は、時間解決を制限することで解決されました。, CVE-2015-5825：コロンビア大学の Network Security Lab の Yossi Oren 氏ほか, 影響：ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。, 説明：タイプとして attachment が指定された Content-Disposition ヘッダの処理に問題がありました。この問題は、タイプが attachment のページに対して一部の機能を無効にすることで解決されました。, CVE-2015-5921：Intel(r) Advanced Threat Research Team の Mickey Shkatov 氏、シンガポールマネージメント大学の Daoyuan Wu 氏、香港理工大学の Rocky K. C. Chang 氏、Łukasz Pilorz 氏、www.knownsec.com の superhei 氏, 影響：悪意のある Web サイトにアクセスすると、別の Web サイトの画像データが開示される可能性がある。, 説明：WebKit の "canvas" 要素の画像に、クロスオリジンの問題がありました。この問題は、セキュリティオリジンの追跡を強化することで解決されました。, 影響：WebSocket が、混在コンテンツのポリシーの適用を回避する可能性がある。, 説明：ポリシーの適用不備の脆弱性が存在し、WebSocket が混在コンテンツを読み込むことができました。この問題は、混在コンテンツのポリシーを WebSocket にも拡張適用することで解決されました。