macOSメールにあったゼロクリック脆弱性の詳細を研究者が公表

macOSのメールアプリケーションにゼロクリックのセキュリティ脆弱性が存在していた。この脆弱性自体は2020年7月のアップデートで修正されているが、修正が適用される前のメールアプリケーションは細工された2つのzipファイルを添付したメールを受信するだけで個人情報が漏えいするリスクがあったようだ。

[後藤大地，有限会社オングス]

　フィンランドのセキュリティ研究者が、macOSのメールアプリケーションに存在していたゼロクリック脆弱（ぜいじゃく）性の詳細を報告した。このセキュリティ脆弱性を利用するとメールサンドボックス環境にある任意のファイルを書き換えたり、新規ファイルを追加したりできるとされており、最終的に個人情報の漏えいにつながる恐れがあると指摘している。

　なおこの脆弱性は2020年7月に公開された「macOS Mojave 10.14.6」「macOS High Sierra 10.13.6」「macOS Catalina 10.15.5」向けのアップデートですでに修正されているため、影響を受けるのはアップデートを適用していない環境のみだ。

macOSメールに存在したゼロクリック脆弱性を解説するMikko Kenttala氏のWebサイト

メールアプリに存在したゼロクリック脆弱性の詳細は