macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。
米Appleが9月24日に公開したmacOSの新バージョン「Mojave」(10.14)について、ユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、著名セキュリティ研究者のパトリック・ウォードル氏がデモ映像を公開した。
Appleは同日公開したセキュリティ情報で、Mojaveでは8件の脆弱性を修正したことを明らかにしているが、この中にウォードル氏の指摘する脆弱性は含まれていない。
ウォードル氏がVimeoに掲載したデモ映像では、脆弱性を突いてユーザーのアドレス帳の場所を突き止め、プライバシーアクセス制限をかわして、アドレス帳の全内容をデスクトップにコピーすることに成功したと報告。Appleに連絡しようとしたが、macOSの脆弱性情報提供を募るバウンティプログラムが見つからなかったとしている。
BleepingComputerはウォードル氏の話として、この脆弱性はプライバシー関連のデータ保護を目的とした対策の実装方法に起因すると伝えた。特権のない不正なアプリを使って新しいセキュリティ対策の仕組みをかわし、認証なしでセンシティブなデータにアクセスすることが可能だとしている。
ただし、Mojaveの新しいプライバシー保護機能全てに対して通用するわけではなく、Webカメラのようなハードウェアベースのコンポーネントは影響を受けないという。
ウォードル氏は2018年11月にハワイで開かれる、macOSのセキュリティカンファレンス「Objective by the Sea」で、この脆弱性に関する詳細の公表を予定している。
※記事掲載当初、脆弱性がダークモードに存在するとしていましたが、ウォードル氏がTwitterで内容を修正したため、記事の内容を一部変更しました。(9/26 20:15)
関連記事
- 「iOS 12」のセキュリティ情報公開、16件の脆弱性を修正
同時に「tvOS 12」「watchOS 5」「Safari 12」「Apple Support 2.4 for iOS」のセキュリティ情報も公開された。 - Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開
iOS 11.4.1で修正された絵文字関連の脆弱性では、「台湾」という単語を入力するたびに、アプリケーションがクラッシュすると報告されていたという。 - 最新macOS「Mojave」提供開始
Appleは9月25日、最新macOS「Mojave」(モハベ)を正式リリースした。アピアランスを暗い色調に変えるダークモードをはじめ、数々の新機能を搭載。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.