ニュース
AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。
AppleのmacOSカーネル「XNU」に脆弱性が見つかったとして、GoogleのProject Zeroチームが情報を公開した。Appleには2018年11月30日に連絡したが、Google側が指定した90日の期限を過ぎてもAppleがパッチを提供しなかったとして、2019年2月28日付で一方的に公開に踏み切った。
Google Project Zeroのページに掲載された情報によると、XNUに搭載されているコピーオンライト(COW)の機能に関連して、ユーザーが保有するファイルシステムイメージのマウント経由でCOWの挙動がバイパスされる脆弱性が存在する。
重要度は「高」に分類しており、この脆弱性について検証するためのコンセプト実証コードも公開した。
Appleは現時点でこの脆弱性修正のためのセキュリティアップデートは公開していないものの、Googleによれば、いずれ解決する意向だといい、Googleが協力して対応に当たっているという。
Project Zeroではこれまでにも、同様のやり方でMicrosoftのWindowsなど他社製品の脆弱性を報告していた。
関連記事
- iOS、macOSなどの脆弱性や不具合を修正 Appleがアップデート一挙公開
iOS、macOS、tvOS、watchOS、Safari、iCloud for Windowsのアップデートがそれぞれ公開された。 - macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。 - macOSに未解決の脆弱性、クリック操作偽造の恐れ
クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.