ITmedia NEWS > セキュリティ > macOSに未解決の脆弱性、クリック操作偽造の恐れ

DEF CON 2018で発表:macOSに未解決の脆弱性、クリック操作偽造の恐れ

» 2018年08月14日 09時30分 公開
[鈴木聖子ITmedia]
photo DEF CONのWebサイトに掲載された、セキュリティ研究者パトリック・ウォードル氏の発表

 米AppleのmacOSに、クリック操作を偽造してセキュリティ対策をかわすことができてしまう未解決の脆弱性が見つかったとして、米ラスベガスで開かれたハッキングカンファレンス「DEF CON 2018」で研究者がデモを行った。

 DEF CONのWebサイトに掲載されたセキュリティ研究者パトリック・ウォードル氏の発表概略によると、今回の脆弱性は、2017年10月の「macOS High Sierra 10.13追加アップデート」で修正された脆弱性(CVE-2017-7150)に関連している。

 この脆弱性もウォードル氏が発見したもので、悪意のあるアプリケーションでクリック操作を偽造して、パスワード管理アプリケーション「キーチェーン」のパスワードを抽出することが可能だった。Appleは「キーチェーンアクセスのプロンプトでユーザーパスワードの入力を必須にすることで解決した」と説明していた。

 ところがウォードル氏によると、このパッチが不完全だったことが判明。最新のパッチを適用したmacOSであっても、クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまうことが分かったという。

 しかも、「ユーザーの目には一切見えない形でそれを実行することが可能」だとウォードル氏は説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

Special

- PR -

「テレビの向こうに同級生がおる!」New!

児童はわずか数人、一緒に授業を受ける友達がいない……山間地域の小学校で「遠隔合同授業」はうまくいくのか?

AIを使って早く帰ろう!

竹中工務店が建設現場へのディープラーニング導入で目指すものとは――人手によらず、建設現場で撮影した写真の仕分け業務を自動化し、毎日2時間ほど作業がほぼ不要に。

あなたがビジネス社会で生き残る方法

自身の置かれている状況やスキル不足に危機感を持っていませんか? 自分を客観視できるツールで危機を克服しよう

税込2万円台前半の手ごろな価格のNASも!

NASって何? 何が便利なの? 高品質NAS「QNAP」の情報を集約した 「QNAP×ITmedia」

「エディフィス」に“攻め”の新製品

こだわりの立体感に“攻め”のポイントカラー、男の物欲を刺激するスポーティメタルアナログウォッチ「エディフィス」誕生の舞台裏を探る