深刻な Mac Gatekeeper バイパスの脆弱性が、Microsoft のセキュリティ研究者によって発見され報告された後、Apple によって修正されました。

この脆弱性により、マルウェアはGatekeeperのチェックを回避できました。注目すべきは、この脆弱性は極めて安全なロックダウンモードで動作しているMacにも影響を及ぼしたことです…

GatekeeperはmacOSに組み込まれたセキュリティ機能です。新しいMacアプリを初めて実行しようとすると、Gatekeeperは、そのアプリがAppleによって認証された開発者によるものであるかどうかを確認します。

ユーザーが選択できる Gatekeeper 設定は 3 つあります。

• Mac App Storeからダウンロードしたアプリのみを許可する
• 認定されたApple開発者によって署名されたものも許可する
• すべてのアプリを許可する

(macOS の現在のバージョンおよび最近のバージョンでは、3 番目のオプションが非表示になり、誤って選択されないようになっています。)

新しいアプリが Web からダウンロードされると、com.apple.quarantine という属性がファイルに割り当てられます。これは、Gatekeeper がアプリを開くときにチェックするための信号です。

Mac の Gatekeeper バイパス脆弱性

Bleeping Computer は、macOS の欠陥により、攻撃者が com.apple.quarantine 属性がファイルに割り当てられるのを防ぐことができ、ファイルが開かれたときに Gatekeeper チェックがトリガーされない可能性があると報告しています。

Achilles の脆弱性により、特別に細工されたペイロードがロジックの問題を悪用して、Web ブラウザーやインターネット ダウンローダーがダウンロードした ZIP ファイルとしてアーカイブされたペイロードに com.apple.quarantine 属性を設定することをブロックする制限的なアクセス制御リスト (ACL) 権限を設定できるようになります。

その結果、アーカイブされた悪意のあるペイロード内に含まれる悪意のあるアプリは、Gatekeeper によってブロックされるのではなく、ターゲットのシステム上で起動し、攻撃者がマルウェアをダウンロードして展開できるようになります。

特に、ロックダウン モードでは脆弱性から保護されませんでした。

マイクロソフトは月曜日、「高度なサイバー攻撃の標的となる可能性のある高リスクユーザー向けのオプションの保護機能としてmacOS Venturaに導入されたAppleのロックダウンモードは、ゼロクリックによるリモートコード実行の脆弱性を阻止することを目的としており、アキレス腱の脆弱性を防御するものではない」と述べた。

これまで通り、Macやその他のAppleデバイスは常に最新の状態にしておくことをお勧めします。Venturaへのアップデートをご希望でない場合は、Appleは以前のmacOSの最新（かつ最も安全な）バージョンへのアップデートオプションを提供しています。

Appleは現在、MacとiOSデバイスの両方で新しいRapid Security Response機能をテストしており、これによりOSの完全なアップデートを必要とせずに、今回のようなセキュリティの脆弱性を迅速に修正できるようになる。

写真: Ján Vlačuha/Unsplash

havebin.com を Google ニュース フィードに追加します。