「macOS」アプリサンドボックス回避の脆弱性、MSがパッチ適用を呼びかけ

今回は「「macOS」アプリサンドボックス回避の脆弱性、MSがパッチ適用を呼びかけ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間7月13日、同社の研究者が発見した「macOS」のセキュリティ脆弱性について詳しく説明した。悪用されると、巧みに作成されたコードが「App Sandbox」を回避し、システム上で無制限に実行される可能性があるという。

 Microsoft 365 Defender Research Teamは、Appleが5月16日に公開したmacOS用のセキュリティアップデートをインストールしていないMacユーザーは、直ちに適用する必要があると警告した。

 このApp Sandboxの脆弱性には、識別子「CVE-2022-26706」が割り当てられている。

 「macOSユーザーに、できるだけ早くこれらのセキュリティアップデートをインストールすることを推奨する」と、同社のJonathan Bar Or氏は述べた。

 同社は、この脆弱性の概念実証(POC)を、詳細なものと非常に簡潔なものと、2つの形式で共有した。

 Appleは、macOSの「Launch Services」に関する問題だとしており、「サードパーティーアプリケーションに対するサンドボックスでの制限を追加」して、修正したという。

 App Sandboxは、Appleが提供するmacOSのアクセス制御技術で、「Mac App Store」でアプリを販売したい開発者は導入を義務付けられている。つまり、「Word」や「Excel」などの「Microsoft Office」アプリを販売しているMicrosoftも、その対象に含まれる。

 Appleによると、App Sandboxはカーネルレベルで実装される。機密性の高いリソースへのアクセスをアプリ単位で制限することで、アプリが侵害された場合に、システムやユーザーのデータに及ぶ被害を食い止める。

 App Sandboxは「絶対確実ではない」ものの、ユーザーデータの盗難、破損、削除に対する「最後の防御線」として機能するという。また、攻撃者がアプリのバグを悪用して、システムハードウェアを乗っ取ろうとした場合、その試みを妨害できる。

 Microsoftが、App Sandboxを回避する手段としてmacOSのLaunch Servicesを調査したのは、 2018年、2020年、2021年に実施された他の研究で、同様の脆弱性が明らかにされていたからだ。2021年には、Perception Pointの研究者が、Launch Servicesを悪用した同種のサンドボックス回避を確認している(CVE-2021-30864)。Appleはこれに対し、2021年9月にパッチを適用し、2022年1月にその情報を公開した。

 Microsoftは、macOS向けのMicrosoft Officeで不正なマクロを実行し、検出する方法を探っている時に、この脆弱性を発見した。「macOSのLaunch Servicesを使い、前述のプレフィックス(~$)を持つ巧妙に細工されたPythonファイルで、open-stdinコマンドを実行して、サンドボックスを回避できることが分かった。また調査で、macOSに搭載されている基本的なセキュリティ機能もすり抜けて、システムとユーザーデータを侵害できる可能性があることが示された」(同社)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Facebook、同社の広告ターゲティングの透明性を調査していた研究者のアカウントを停止
アプリ・Web
2021-08-06 01:11
【コラム】オープンバンキングが普及し、フィンテックと中小企業の蜜月が始まる
フィンテック
2021-08-11 10:48
アルフレッサとヤマト運輸、ビッグデータのAI分析で医薬配送を最適化
IT関連
2021-08-05 22:13
明治、クラウド請求書受領サービス「Bill One」を導入
IT関連
2022-07-20 17:04
歩きポケモンしてるとGoogleさんに叱られる :Googleさん(1/3 ページ)
トップニュース
2021-04-19 21:29
CEOは景気をどう予想する?今後の優先事項は–Gartner
IT関連
2021-05-17 19:32
カーネギーメロン大学発先進「触覚センシング技術」の社会実装を推進するFingerVisionが1億円のシード調達
IT関連
2022-03-26 16:07
USJのニンテンドー新エリア、視界不良の船出
IT関連
2021-03-20 22:02
インテル、「Arc」GPU搭載のノートPCは3月中に発売の見込み
IT関連
2022-02-19 12:11
freee会計が法人・個人事業主向けEコマース「Amazonビジネス」の購買明細APIと公式連携を開始
IT関連
2022-01-26 23:57
すべての街を「駅前化」するインフラを目指す電動マイクロモビリティシェアの「Luup」が7.5億円を調達
シェアリングエコノミー
2021-05-20 01:08
「Windows 10X」、開発中断か
IT関連
2021-05-10 00:57
原材料から廃棄まで–「ThinkPad」の環境対策と工夫の数々
IT関連
2022-03-08 02:34
Canonical、「Ubuntu 22.04 LTS」をリリース
IT関連
2022-04-27 16:40