macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘

macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。

» 2018年09月25日 13時20分 公開
[鈴木聖子ITmedia]

 米Appleが9月24日に公開したmacOSの新バージョン「Mojave」(10.14)について、ユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、著名セキュリティ研究者のパトリック・ウォードル氏がデモ映像を公開した。

 Appleは同日公開したセキュリティ情報で、Mojaveでは8件の脆弱性を修正したことを明らかにしているが、この中にウォードル氏の指摘する脆弱性は含まれていない。

 ウォードル氏がVimeoに掲載したデモ映像では、脆弱性を突いてユーザーのアドレス帳の場所を突き止め、プライバシーアクセス制限をかわして、アドレス帳の全内容をデスクトップにコピーすることに成功したと報告。Appleに連絡しようとしたが、macOSの脆弱性情報提供を募るバウンティプログラムが見つからなかったとしている。

パトリック・ウォードル氏が公開したデモ映像

 BleepingComputerはウォードル氏の話として、この脆弱性はプライバシー関連のデータ保護を目的とした対策の実装方法に起因すると伝えた。特権のない不正なアプリを使って新しいセキュリティ対策の仕組みをかわし、認証なしでセンシティブなデータにアクセスすることが可能だとしている。

photo BleepingComputerの記事

 ただし、Mojaveの新しいプライバシー保護機能全てに対して通用するわけではなく、Webカメラのようなハードウェアベースのコンポーネントは影響を受けないという。

 ウォードル氏は2018年11月にハワイで開かれる、macOSのセキュリティカンファレンス「Objective by the Sea」で、この脆弱性に関する詳細の公表を予定している。

※記事掲載当初、脆弱性がダークモードに存在するとしていましたが、ウォードル氏がTwitterで内容を修正したため、記事の内容を一部変更しました。(9/26 20:15)

関連キーワード

脆弱性 | macOS | セキュリティ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ