macOSに未解決の脆弱性、クリック操作偽造の恐れDEF CON 2018で発表

クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。

» 2018年08月14日 09時30分 公開
[鈴木聖子ITmedia]
photo DEF CONのWebサイトに掲載された、セキュリティ研究者パトリック・ウォードル氏の発表

 米AppleのmacOSに、クリック操作を偽造してセキュリティ対策をかわすことができてしまう未解決の脆弱性が見つかったとして、米ラスベガスで開かれたハッキングカンファレンス「DEF CON 2018」で研究者がデモを行った。

 DEF CONのWebサイトに掲載されたセキュリティ研究者パトリック・ウォードル氏の発表概略によると、今回の脆弱性は、2017年10月の「macOS High Sierra 10.13追加アップデート」で修正された脆弱性(CVE-2017-7150)に関連している。

 この脆弱性もウォードル氏が発見したもので、悪意のあるアプリケーションでクリック操作を偽造して、パスワード管理アプリケーション「キーチェーン」のパスワードを抽出することが可能だった。Appleは「キーチェーンアクセスのプロンプトでユーザーパスワードの入力を必須にすることで解決した」と説明していた。

 ところがウォードル氏によると、このパッチが不完全だったことが判明。最新のパッチを適用したmacOSであっても、クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまうことが分かったという。

 しかも、「ユーザーの目には一切見えない形でそれを実行することが可能」だとウォードル氏は説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ