錦です。
今日リリースされたmacOSHighSierraですが、早速脆弱性が見つかっています。正確には、過去のバージョンにもあった脆弱性ということです。
Keychainで脆弱性
今回の脆弱性は、macOS上でのパスワード等の保存に使用される、Keychainというアプリにあります。これは、ユーザーのWiFiパスワード・クレジットカードパスワード・ログイン情報などを保存していおくアプリで、それらの管理も行っています。 本来、それらにアクセスするにはマスターパスワードが必要です。しかし、その脆弱性をつけばアクセス出来るというものです。
Apple Gatekeeperで回避を
ブラウザなどでアプリやソフトをダウンロードした時、ポップアップで「開発者が未確認なので開けません」とでることがあります。これは、Appleに開発者登録していない開発者が作成したアプリに出るもので、Gatekeeperというシステムです。
これは、環境設定から開くことができます。また、アプリの起動許可も環境設定で行うことが可能です。
条件付き
今回の攻撃には条件があります。それは、マスターパスワードと、Macのパスワード(パスコード)が同一であること。
つまり、パスワードとマスターパスワードを変えておくことで、安全だということです。
この脆弱性を見つけた研究者は、この脆弱性は過去のバージョンにもあるため、セキュリティ面を重視するなら、他のセキュリティが上がっているHighSierraにアップデートすべきだと述べています。
Source:Forbes