AppleInsiderスタッフ
· 1分で読めます
Google の社内ソフトウェア セキュリティ研究チームは、Apple の Mac OS X デスクトップ オペレーティング システムで最近発見されたゼロデイ脆弱性 3 件を公表したが、各脆弱性の深刻度は不明である。
更新:iMoreによると、Appleの次期OS X 10.10.2アップデートには、金曜日に報告されたIOKitの脆弱性に対するパッチが含まれる予定。
問題となっているのは、OS XのnetworkdとIOKitで、それぞれ2つの別々のケースに関与しています。これらの情報公開(概念実証コードも含む)は、ArsTechnicaによって最初に報じられました。
Project Zeroの研究者は昨年10月にAppleにこれらの脆弱性を報告しており、少なくとも1つの問題はOS X Yosemiteで軽減されたようです。残りの2つの脆弱性については、報告から90日後に公表されましたが、これはProject Zeroの標準的な運用手順です。
Arsが指摘しているように、これらの脆弱性はいずれも直接リモートから悪用できるものではないようです。つまり、悪意のある攻撃者はあらかじめマシンにアクセスする必要があるということです。しかし、他の攻撃と組み合わせて使用することで、攻撃者の権限を昇格させることが可能です。
Project Zeroは、Google社内の小規模なグループで、商用ソフトウェアの脆弱性をテスト・発見する任務を担っています。このチームは既にOS Xで3件、MicrosoftのWindowsでも少なくとも同数の脆弱性を発見しており、レドモンドの巨大企業Microsoftがパッチを公開する予定の2日前にエクスプロイトを公開したことで、同社の不興を買っています。
