FAMLog

AppleからmacOS High Sierra 10.13.2 追加アップデートが公開されています。

macOS High Sierra 10.13.2 追加アップデートにはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれています。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）、APPLE-SA-2018-1-8-1 iOS 11.2.2（FAMLog）

iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2.2の提供が開始されています。

iOS 11.2.2にはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれています。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）、APPLE-SA-2017-12-6-2 iOS 11.2（FAMLog）

LibreSSL 2.6.4が2017年12月中旬に公開されています。

LibreSSL 2.6.4では不具合の修正が行われています。LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。

現時点でのLibreSSLの最新安定バージョンはバージョン2.6.4であり、LibreSSLはバージョン2.7系統の開発が今後進められる予定となっています。

Appleからセキュリティ脆弱性の修正を含んだSafari 11.0.2が配布されています。

多数の脆弱性が修正されたSafari 11.0.2は、OS X El Capitan v10.11.6およびmacOS Sierra 10.12.6で利用できます。同時に公開されたmacOS High Sierra 10.13.2にもSafari 11.0.2が含まれています。

なお、OS X Yosemite用のSafari 11は提供されておらず、OS X El Capitan以降にアップグレードすることが推奨される状況になっています。

［関連］APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）

iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2の提供が開始されています。

iOS 11.2では、互換性のある他社製のアクセサリを使用した場合にiPhone 8、iPhone 8 PlusおよびiPhone Xが高速ワイヤレス充電に対応するようになっています。不具合の修正や改善だけでなく、セキュリティ脆弱性も多数修正されています。

アップデートの対象機種は、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE、iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus、iPhone X、第6世代のiPod touch、第5世代のiPad、iPad Air、iPad Air 2、9.7インチiPad Pro、10.5インチiPad Pro、第1世代および第2世代の12.9インチiPad Pro、iPad mini 2、iPad mini 3およびiPad mini 4です。

［関連］APPLE-SA-2017-12-13-6 Additional information for APPLE-SA-2017-12-6-2 iOS 11.2（Apple）

（2017/12/14追記：関連記事へのリンクを追加しました。）

AppleからmacOS High Sierra 10.13.2、macOS Sierra 10.12.6用のSecurity Update 2017-002およびOS X El Capitan v10.11.6用のSecurity Update 2017-005が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれており、Apache HTTP Serverがバージョン2.4.28に更新される他、curlやOpenSSL等の脆弱性も修正されています。

前回からOS X Yosemite用のセキュリティアップデートが用意されていないことから、実質的にOS X El Capitan以降にアップグレードすることが推奨される状況になっています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョンであるOpenSSL 1.0.2nが公開されています。

OpenSSL 1.0.2nでは2点のセキュリティ脆弱性（CVE-2017-3737およびCVE-2017-3738）が修正されています。CVE-2017-3737はOpenSSL 1.1.0系統には影響せず、OpenSSL 1.1.0系統におけるCVE-2017-3738に対する修正はOpenSSL 1.1.0hで行われる予定ですが、CVE-2017-3738は影響度が低いことから今回OpenSSL 1.1.0系統の更新は行われていません。

FileMaker Pro 16.0.3にはOpenSSL 1.0.2lが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

macOS High Sierra 10.13およびmacOS High Sierra 10.13.1用のSecurity Update 2017-001が公開されています。

上記のアップデートでは、macOS High Sierra 10.13および10.13.1においてパスワードなしで管理者アカウントでログインできてしまうセキュリティ脆弱性が修正されています。深刻な脆弱性が修正されているので、macOS High Sierraを利用している場合には早期にアップデートを適用することが強く推奨されます。なお、この問題はmacOS Sierra 10.12.6以前には影響しないと案内されています。

macOS High Sierra用のSecurity Update 2017-001を適用した後に、sw_verコマンドでmacOS High Sierra 10.13.1のビルドバージョンが17B1002もしくは17B1003に更新されます。当初公開されたSecurity Update 2017-001を適用した場合、ビルドバージョンが17B1002になっていますが、17B1002の場合にはファイル共有に関する問題が確認されています。当該問題を解決するには修正版のSecurity Update 2017-001を適用する必要があります。

［関連］macOS High Sierra の設定に関する注意喚起（JPCERT コーディネーションセンター）、APPLE-SA-2017-11-29-1 Security Update 2017-001（Apple）、APPLE-SA-2017-11-29-2 Security Update 2017-001（Apple）、Repair file sharing after Security Update 2017-001 for macOS High Sierra 10.13.1（Apple）

LibreSSL 2.6.3が2017年11月上旬に公開されています。

LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 2.6は、これまで開発版として公開されていましたが、今回公開されたバージョン2.6.3で安定版として配布されるようになっています。

なお、LibreSSL 2.6.3が安定版となったことで、LibreSSL 2.4系統のサポートが終了しています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2m」と「OpenSSL 1.1.0g」が公開されています。

OpenSSL 1.0.2mおよびOpenSSL 1.1.0gでは複数のセキュリティ脆弱性が修正されています。OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月に、OpenSSLのバージョン1.0.1系統は2016年12月にセキュリティ修正を含むサポートが終了したため、今後はバージョン1.0.2系統もしくはバージョン1.1.0系統に移行する必要があります。

FileMaker Pro 16.0.3にはOpenSSL 1.0.2lが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。