

Appleは本日、macOS Big Sur 11.2.1を一般公開しました。同時に、macOS Catalina 10.15.7およびmacOS Mojave 10.14.6の追加アップデートもリリースしました。MacBook Proの充電問題の修正に加え、先週報告されたSudoバグに対する重要なセキュリティ修正も含まれています。
先週解説したように、Sudoバグにより一般ユーザーがMacのルート権限を取得できる可能性がありますが、攻撃者がユーザーアクセスを取得するには、マルウェアやブルートフォース攻撃を組み合わせる必要があります。ZDNetはこの脆弱性について次のように説明しています。
Qualysのセキュリティ研究者によって先週CVE-2021-3156(別名Baron Samedit)として公開されたこの脆弱性は、管理者が他のユーザーに限定的なルートアクセスを委任できるアプリ「Sudo」に影響を与えます。Qualysの研究者は、Sudoアプリの「ヒープオーバーフロー」バグを誘発することで、現在のユーザーの低権限アクセスをルートレベルコマンドに変更し、攻撃者にシステム全体へのアクセスを許可する可能性があることを発見しました。
Appleは、本日配信されたmacOS Big Sur 11.2.1のアップデート、およびmacOS Catalina 10.15.7とmacOS Mojave 10.14.6の追加アップデートに、このバグの修正が含まれていると発表しました。Appleはサポートウェブサイトで以下の詳細を公開しました。
- 対象OS: macOS Big Sur 11.2、macOS Catalina 10.15.7、macOS Mojave 10.14.6
- 影響: ローカルの攻撃者が権限を昇格できる可能性がある
- 説明: この問題は、sudo バージョン 1.9.5p2 にアップデートすることで解決されました。
- CVE-2021-3156: クアリス
macOS Catalina と macOS Big Sur のアップデートには、他の 2 つのセキュリティ修正も含まれています。
インテル グラフィックス ドライバー
- 対象OS: macOS Big Sur 11.2、macOS Catalina 10.15.7
- 影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある
- 説明: 入力検証を強化することで、範囲外の書き込みに対処しました。
- CVE-2021-1805: ABC Research sro は Trend Micro Zero Day Initiative と協力
インテル グラフィックス ドライバー
- 対象OS: macOS Big Sur 11.2、macOS Catalina 10.15.7
- 影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある
- 説明: 追加の検証により競合状態に対処しました。
- CVE-2021-1806: ABC Research sro は Trend Micro Zero Day Initiative と協力
システム環境設定アプリの「ソフトウェア・アップデート」メニューに移動して、Mac を最新バージョンの macOS にアップデートできるようになりました。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
