ゼロデイ攻撃を専門とするGoogleのセキュリティ研究チームProject Zeroが、macOSカーネルに潜む「重大性の高い」欠陥を発見したことを明らかにしました。Project Zeroは2018年11月30日に問題をアップルに報告したものの、指定した90日の猶予を過ぎてもAppleがパッチを提供しなかったため、2月28日付で情報を公開したとのこと。
問題はmacOSのXNUカーネルが搭載するコピーオンライト(COW、Shadowing)機能に関するもので、ユーザー所有のファイルシステムイメージをマウントすることでリソース管理システムがCOW機能を迂回し、コピーされたメモリがコピー元のプロセスの将来の更新に影響されてしまうか、コピー元のプロセスがコピー先プロセスと二重に読み込んでしまうエクスプロイトの可能性があるとのこと。
Google、macOSの「重大な脆弱性」を公開。アップルは報告後90日の猶予経過後も修正をリリースできず
警告出さず権限昇格のおそれ
われわれセキュリティの専門家でも何でもないユーザーからすれば「何のことやらさっぱりわからん」と言うのが率直な感想のはずですが、超絶ざっくり言えば、本来なら発生すべきシステム警告やエラーを出さずに、ディスク上のファイルの書き換えが可能になってしまい、それを読み込ませることでローカルプロセス権限の昇格が可能になり、システムが乗っ取られる可能性があるということです。要するに「非常にやばい」と思えば間違いありません。
当然ながら報告を受けたアップルはパッチの開発に取り組んでいるはずです。しかし、Project Zeroは90日間という猶予期間をすぎれば相手の承認なしに脆弱性を公開する独自のルールを適用しました。ただ、Project Zeroは一方的に脆弱性を明らかにしているのではなく、問題解決のためにアップルと協力しています。
気になるのは、通常90日間の猶予にどうしても間に合わない場合、Project Zeroは90日の猶予後も14日間の延長期間を設けているはずであるにもかかわらず、アップルにはこの延長期間が適用されなかったこと。これはすぐにもパッチが適用されることを意味しているのかもしれないものの、何も知らないユーザーを危険にさらすことにもなりえます。
今回の問題を悪用した事例があるのかは明らかになっていません。しかし、macOSユーザーはパッチが公開、適用されるまでの間は問題のありそうなウェブサイトを訪問したり、ファイルをダウンロードしたりるすのは避けるほうが良さそうです。セキュリティ対策ソフトウェアも最新の状態に保つことをおすすめします。
