macOS High Sierraに脆弱性、各種ログイン情報流出も！専門家が指摘

 
日本時間9月26日未明に配信されたmacOS High Sierraに、セキュリティ上の脆弱性があり、Keychainに保存されているユーザー名とパスワードの情報が盗み出される危険性がある、とセキュリティの専門家が警鐘を鳴らしています。

Mac App Store以外から入手のアプリからログイン情報が漏れる？

公開されたばかりのmacOS High Sierraのセキュリティ上の脆弱性について、アメリカ国家安全保障局(NSA)に勤務した経験も持つセキュリティアナリストの、パトリック・ウォードル氏が、注意を促しています。

 
同氏が指摘する問題は、Mac App Store以外からダウンロードされた、発行元の不明なサードパーティ製アプリがインストールされたMacで発生します。
 

 
アプリに埋め込まれた悪意のあるコードによって、Keychainに保存されたユーザー名とパスワードがプレーンテキストで表示させられる脆弱性があります。危険性の検証動画ではTwitterやFacebook、Bank of Americaのログイン情報が表示されています。
 

on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)??? vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq

— patrick wardle (@patrickwardle) 2017年9月25日

macOS High Sierraより前のバージョンで同様の危険性も

ウォードル氏は脆弱性をつくコードの詳細について、悪用される危険性を考慮して公開していませんが、「Appleは将来のアップデートでこの脆弱性に対応するはずだ」、とコメントしています。
 
米メディアMacRumorsは、今回指摘されている脆弱性はmacOS High Sierraだけでなく以前のバージョンでも同様の可能性がある、として、Mac App Store以外から、発行元の怪しいアプリをダウンロードしないよう、注意を呼びかけています。

 
 
Source: MacRumors
(hato)