Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 製品・サービス マイナンバー特集 コラム 過去記事 メルマガ

OS Xの既知脆弱性を狙う攻撃コード - 「Yosemite」以前はゼロデイ状態

Appleは、9月30日に最新OS「OS X El Capitan 10.11」を公開、さらに10月21日にセキュリティアップデートをリリースしたが、これらで修正された脆弱性を狙う攻撃コードが公開されている。悪用が容易であるとして、セキュリティベンダーが注意を呼びかけている。

問題の脆弱性は、ユーザーに確認せずに「スクリプトエディタ」を実行する「CVE-2015-7007」。さらに「remote_cmds」コンポーネントに権限の昇格が可能となる「CVE-2015-5889」が存在しており、これらを組み合わせることで、「Safari」によるウェブページの閲覧などによって、リモートよりコードを実行、権限の昇格によりシステムの制御を奪われるおそれがあるという。

悪用コードが公開されており、脆弱性を検証したソフトバンク・テクノロジーは、容易に攻撃が可能であると危険性を指摘している。

またこれら脆弱性の修正は、「OS X El Capitan」を対象に実施されたが、「OS X Yosemite」でも影響を受けることも確認。「OS X Yosemite」以前には修正プログラムが用意されておらず、脆弱性を解消するためには、「OS X El Capitan 10.11」へのアップグレードが必要な状態であるとして、注意を呼びかけている。

(Security NEXT - 2015/11/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NTTソフト、ウェブアプリの自動診断など新サービス
複数メーカーのルータにクリックジャッキングの脆弱性
「Shockwave Player」に深刻な脆弱性 - 更新が公開
「VoLTE」の実装に起因する脆弱性、NTTドコモには影響なし
ANAのスマートフォンアプリに脆弱性 - 修正版が公開
「EC-CUBE」にCSRFの脆弱性 - アップデートが公開
「Joomla」に深刻な脆弱性 - 早急にアップデートを
Apple、OS X向けにセキュリティアップデートを公開
Apple、「iOS 9.1」を公開 - 脆弱性49件を解消
「Java SE」の脆弱性25件を修正 - Oracle

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.