1Password 8 for Macに深刻な脆弱性 なりすましリスクもあるため急ぎ更新を:セキュリティニュースアラート
1Passwordは1Password 8 for Macに深刻な脆弱性があることを発表した。この脆弱性を悪用されると、悪意のあるプロセスによってユーザー機密データが危険にさらされる可能性がある。
1Passwordは2024年8月6日(現地時間)、同社のプロダクトである「1Password 8 for Mac」に深刻な脆弱(ぜいじゃく)性があることを発表した。この脆弱性が悪用された場合、悪意のあるプロセスが「macOS」のプロセス間通信保護を回避してユーザーの機密データを危険にさらす可能性がある。
macOS用1Passwordに見つかった脆弱性 なりすましリスクもあるため要注意
1Password for Macでは、macOSのプロセス間通信にシステムネイティブのXPCインタフェースが使用されている。このインタフェースを使用することでプロセス改ざんに対する防御が強化されている。しかしこの保護機能が不十分であることが判明し、特定のローカル攻撃が可能になる脆弱性が発見されている。
特に悪意のあるソフトウェアが1Password for Macを標的にすることで、1Password Webブラウザ拡張機能やCLIなどの信頼できる1Password統合を乗っ取ったり、なりすましたりすることが可能になるとされている。攻撃者は1Passwordに保存された情報を盗むだけでなく、アカウントのロック解除キーや「SRP-x」といった機密データも窃取されてしまう可能性がある。
脆弱性の影響を受けるバージョンは以下の通りだ。。
- 1Password 8 for Mac 8.10.36より前の全てのバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- 1Password for Mac 8.10.36およびこれ以降のバージョン
発見された脆弱性は「CVE-2024-42219」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は7.0とされており、深刻度「重要」(High)と評価されている。脆弱性が存在するバージョンを使っている場合、公開された情報を確認するとともに速やかに問題が修正されたバージョンにアップデートすることが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
macOSのセキュリティ防御率は23% WindowsやLinuxと比べて大幅に劣ることが判明
Picus Securityは年次セキュリティレポート「Picus Blue Report 2024」を公開した。調査から、macOSにおけるセキュリティ防御率はWindowsやLinuxに比べて大幅に劣ることが明らかになっている。