sudoコマンドの脆弱性、「macOS」にも影響

今回は「sudoコマンドの脆弱性、「macOS」にも影響」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　英国のあるセキュリティ研究者が現地時間2月3日に明らかにしたところによると、最近発見されたsudoコマンドの脆弱性を抱えているOSは、当初考えられていたLinuxやBSDだけではなく、「macOS」にも存在しているという。

　1月下旬にQualysの研究者らによって発見された脆弱性「CVE-2021-3156」（発見者によって「Baron Samedit」と名付けられている）は、sudoコマンド（管理者権限を有していないユーザーに対して、コマンド単位で限定的に管理者権限を付与するために用いられるコマンド）に存在している。

　Qualysの研究者らが発見したところによると、このコマンドに存在する「ヒープオーバーフロー」の脆弱性を悪用すれば、権限の低いユーザーが管理者レベルの権限を獲得でき、システム全体へのアクセスが可能になるという。

　この脆弱性を悪用する上で攻撃者が必要とするのは、システムへのアクセスだけであり、これはセキュリティ研究者らによると、デバイスにマルウェアを仕込むか、低い権限のサービスアカウントにブルートフォース攻撃を仕掛けることで可能になるという。

　Qualysの研究者らは1月26日付のレポートで、sudoコマンドがほとんどのUNIXライクなOSに搭載されていると記した上で、この脆弱性が「Ubuntu」と「Debian」「Fedora」上に存在していることを確認しており、その他のディストリビューションにも存在している可能性があることを記していた。このレポートを読んだほとんどのセキュリティ研究者らは、sudoコマンドを搭載しているもう1つの主要OS系列であるBSDにも影響が及んでいる可能性があると考えていた。

　Hacker Houseの共同創業者であるMatthew Hickey氏が2月3日にTwitterで指摘したように、macOSの最近のバージョンにも、このsudoコマンドが出荷時点で備わっている。

　Hickey氏はCVE-2021-3156の脆弱性をテストし、ちょっとした修正を加えるだけでmacOSに対する攻撃を実行し、管理者権限を取得することができたという。

　Hickey氏は同日、この問題に関する動画の共有に先立ち、米ZDNetに対して「この脆弱性を悪用するには、argv[0]（コマンドライン引数の受け渡し用に使われる配列内における、コマンド名が格納されている領域）を書き換えるか、シンボリックリンクを生成するだけでよい。そうすることで、ローカル環境でルート権限を奪えるという、Linuxユーザーをここ数週間悩ませている脆弱性がmacOS上でも悪用できる」と述べた。

　同氏の発見は、macOS関連の著名なセキュリティ専門家の1人であるPatrick Wardle氏によって個別に検証／確認された上で米ZDNetに報告された。またこの脆弱性は、カーネギーメロン大学のCERT Coordination Centerで脆弱性のアナリストを務めるWill Dormann氏によっても公式に確認されている。

　Hickey氏は米ZDNetに対し、この脆弱性はAppleが1日にリリースした最新のセキュリティパッチを適用した後もmacOSの最新バージョンで悪用される恐れがあると話した。

　同氏は3日、Appleにこの問題を通知したとしている。Appleはこの報告について調査中だとしてコメントを控えた。

　IBMの「AIX」システムで悪用される恐れがあるとしている研究者もいる。

ホーム｜加藤電機株式会社｜セキュリティソリューション

加藤電機のウェブサイト。カーセキュリティ、ホームセキュリティ、パーソナルセキュリティ等、様々なIoTによるセキュリティソリューションを提供しています。

千葉でカーセキュリティをお考えなら人気の専門店 ...

千葉でカーセキュリティをお考えの場合は、口コミでも評判の専門店「コンプリート」へお越しください。盗難、車上荒らしに効果的な製品を各種取り揃えております。取り付け、付け替え等のご要望はお気軽に当店までご連絡ください。ご来店お待ちしております。

HORNET | カーセキュリティ | KATO-DENKI 加藤電機株式会社

国内トップクラスのカーセキュリティシステム。優れた拡張性と柔軟なカスタマイズが可能。 HSDR300-701 NEW！ カーセキュリティとドライブレコーダーの2つの機能を搭載したハイエンドモデル新発売！！ 愛車を24時間、常に愛車を見守ります。

PC周辺機器のセキュリティ対策情報

どこでも自由にインターネット環境に接続できる「無線LAN（WiFi）」。便利なだけに仕事でも、プライベートでもつい利用しがちだと思います。しかし、無線LAN（WiFi）には誰でも自由に情報（電波）を拾えるというリスクもあります。つ...

TOA セキュリティシステム総合カタログ No.A-5 2019.05

TOA セキュリティシステム総合カタログ No.A-5 2019.05

コンプリートカー販売 マジック

New Tシャツ販売開始！ TCPMシャツ！ 2019/12/11 新商品！ ワイドボデイキットタイプTT バージョン2 フルキット 2019/12/11 新商品！ フロントバンパーアッパーカナードタイプTT 2019/12/11 新商品！ リアフェンダー ...

IPA

複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。

警察庁 @police

警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。