ロジャー・フィンガス
· 1分で読めます
この問題を最初に公表したセキュリティ研究者によると、macOSの複数のバージョン(High Sierraを含む)に影響するキーチェーンのパスワード脆弱性は9月7日にAppleに報告されており、近い将来に同社によって修正される可能性が高いという。
パトリック・ウォードル氏はギズモードに対し、この脆弱性の技術的な詳細はAppleがパッチをリリースするまで公開されないと語った。しかしウォードル氏は、もし自分が問題を発見したとしても、他のもっと良心的な人物が先に発見している可能性があると警告した。
「もし私がこれらのバグを見つけることができれば、国家、悪意のある敵対者、そしてサイバー犯罪者たちは明らかに膨大な時間とリソースを手に入れることになる。彼らもきっとこれらのバグを見つけているはずだ」と彼は語った。
研究者は、その間に High Sierra にアップデートすることを推奨している。その理由は、「優れたセキュリティ機能が多数組み込まれている」ため、Sierra のままでは保護されないからだ。
ウォードル氏は月曜日、被害者がサインインしている限り、ルートアクセスなしでキーチェーンのパスワードをプレーンテキストでキャプチャできるコンセプトアプリのビデオを公開した。現実世界の標的は、署名のないソフトウェアの使用を阻止するために設計されたmacOSのセキュリティ対策を回避しながら、アプリをダウンロード、インストール、実行することになるだろう。
「macOSはデフォルトで安全になるよう設計されており、Gatekeeperは、この概念実証で示されているような署名のないアプリのインストールをユーザーに警告し、明示的な承認なしにアプリを起動できないようにします」とAppleの広報担当者はGizmodoに語った。「ユーザーには、Mac App Storeのような信頼できるソースからのみソフトウェアをダウンロードし、macOSに表示されるセキュリティダイアログに注意を払うことをお勧めします。」
