macOS High Sierraに、サードパーティ製アプリが、平文のキーチェーンデータにアクセスできる脆弱性が存在
セキュリティ研究者で元NSAのアナリスト、パトリック・ワーデル(Patrick Wardle)氏が、macOS High Sierraの脆弱性についてTwitterで明らかにしました。
それは、悪意のあるサードパーティ製アプリが、平文のキーチェーンデータにアクセスできるという脆弱性で、ユーザーのアカウントやパスワードを盗み取られる可能性があります。
📖 あわせて読みたい記事
Apple、macOS High Sierra 10.13.5 beta 2を開発者に公開!Apple、macOS High Sierra 10.13.3 サプリメンタルアップデートを公開!テルグ語のバグを修正
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) 2017年9月25日
この脆弱性は、Mac上でMac App Storeで公開されているアプリ以外の安全性が確認されていないアプリをダウンロードし実行した際に、そのアプリに仕込まれた悪意のあるコードにより読み取られるもので、アプリ入手をMac App Storeに限定していれば起こりません。
ワーデル氏は、この脆弱性についての詳細は公開していません。Appleはこの脆弱性を直近のアップデートで修正すると思われます。
(via MacRumors)
