macOS High Sierraに、サードパーティ製アプリが、平文のキーチェーンデータにアクセスできる脆弱性が存在
セキュリティ研究者で元NSAのアナリスト、パトリック・ワーデル(Patrick Wardle)氏が、macOS High Sierraの脆弱性についてTwitterで明らかにしました。
それは、悪意のあるサードパーティ製アプリが、平文のキーチェーンデータにアクセスできるという脆弱性で、ユーザーのアカウントやパスワードを盗み取られる可能性があります。
📖 あわせて読みたい記事
「ブートキャンプ」利用者は、macOS High Sierraの新ファイルシステム「APFS」への移行は避けるべき!Epic Games、「Unreal Engine」をmacOS High Sierra上でのVRコンテンツ開発ツールとして早期リリースを発表
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) 2017年9月25日
この脆弱性は、Mac上でMac App Storeで公開されているアプリ以外の安全性が確認されていないアプリをダウンロードし実行した際に、そのアプリに仕込まれた悪意のあるコードにより読み取られるもので、アプリ入手をMac App Storeに限定していれば起こりません。
ワーデル氏は、この脆弱性についての詳細は公開していません。Appleはこの脆弱性を直近のアップデートで修正すると思われます。
(via MacRumors)
