ニュース
macOSに未解決の脆弱性、クリック操作偽造の恐れ:DEF CON 2018で発表
クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。
米AppleのmacOSに、クリック操作を偽造してセキュリティ対策をかわすことができてしまう未解決の脆弱性が見つかったとして、米ラスベガスで開かれたハッキングカンファレンス「DEF CON 2018」で研究者がデモを行った。
DEF CONのWebサイトに掲載されたセキュリティ研究者パトリック・ウォードル氏の発表概略によると、今回の脆弱性は、2017年10月の「macOS High Sierra 10.13追加アップデート」で修正された脆弱性(CVE-2017-7150)に関連している。
この脆弱性もウォードル氏が発見したもので、悪意のあるアプリケーションでクリック操作を偽造して、パスワード管理アプリケーション「キーチェーン」のパスワードを抽出することが可能だった。Appleは「キーチェーンアクセスのプロンプトでユーザーパスワードの入力を必須にすることで解決した」と説明していた。
ところがウォードル氏によると、このパッチが不完全だったことが判明。最新のパッチを適用したmacOSであっても、クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまうことが分かったという。
しかも、「ユーザーの目には一切見えない形でそれを実行することが可能」だとウォードル氏は説明している。
関連記事
- Apple、High Sierraのアップデート公開 パスワード露呈の問題に対処
「APFS」と「キーチェーン」に関連して外部の研究者に指摘されていた2件の脆弱性に対処した。 - パスワード不要、macOS High Sierraに管理者権限でログイン可能?
パスワードを入力しなくても管理者権限でログインできてしまう方法が、Twitterに投稿された。 - macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動)
macOS 10.13.1で「root」と入力すればパスワードなしでログインできてしまう問題に対処するセキュリティアップデートを10.13.0で実行した後、OSを10.13.1にアップデートすると、問題が再発するとWiredが報じた。再起動すれば解消する。 - Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開
iOS 11.4.1で修正された絵文字関連の脆弱性では、「台湾」という単語を入力するたびに、アプリケーションがクラッシュすると報告されていたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.