OS X MavericksおよびMountain Lion向けセキュリティアップデート2015-005が利用可能になりました

OS X Mavericks 10.9.5およびOS X Mountain Lion 10.8.5をご利用のMacユーザーの皆様には、セキュリティアップデート2015-005およびMac EFIセキュリティアップデート2015-001という2つの重要なソフトウェアアップデートが利用可能となります。これらのアップデートには、重大な潜在的なセキュリティ問題に対するパッチと修正が含まれているため、MavericksおよびMountain Lionをご利用のすべてのMacユーザーにインストールを推奨します。Yosemiteをご利用のMacの場合、OS X Yosemite 10.10.4アップデートに同じセキュリティ修正が含まれているため、別途アップデートする必要はありません。

OS X 10.9およびOS X 10.8をご利用のMacユーザーは、OS Xのソフトウェア・アップデート（Appleメニュー > ソフトウェア・アップデートからアクセス可能）でEFIアップデートとセキュリティアップデートをご利用いただけます。インストールを完了するには、Macを再起動する必要があります。システムソフトウェアのアップデートを実行する前に、必ずMacのバックアップを作成してください。

個々のセキュリティ アップデートは、以下のリンクから Apple から直接ダウンロードすることもできます。

• Mavericks のセキュリティアップデート 2015-005
• Mountain Lion のセキュリティアップデート 2015-005

セキュリティアップデート 2015-005 のリリースノートはかなり長いですが、Apple.com で読むことができます。

一方、EFI アップデートのリリース ノートは次のように非常に簡潔です。

Mac EFI セキュリティアップデート 2015-001

• EFI 対象OS: OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5 影響: ルート権限を持つ悪意のあるアプリケーションがEFIフラッシュメモリを変更できる可能性があります。詳細: スリープ状態からの復帰時にEFIフラッシュのロックが不十分な問題がありました。この問題は、ロックの改良によって解決されました。CVE-ID CVE-2015-3692: Two Sigma InvestmentsのTrammell Hudson氏、LegbaCore LLCのXeno Kovah氏とCorey Kallenberg氏、Pedro Vilaça氏

• EFI 対象OS: OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5 影響: 悪意のあるアプリケーションがメモリ破損を引き起こし、権限を昇格させる可能性があります。詳細: 一部のDDR3 RAMには、メモリ破損を引き起こす可能性のあるRowhammerと呼ばれる障害エラーが存在しています。この問題は、メモリリフレッシュレートを上げることで軽減されました。CVE-ID CVE-2015-3693: GoogleのMark Seaborn氏とThomas Dullien氏、Yoongu Kim氏らによる2014年のオリジナル研究に基づき作業