ニシキのソフトウェア情報局

ソフトウエアなど、ITに関する情報をまとめています。

macOS HighSierraで脆弱性 ログインパスワードなどが簡単に閲覧可能に

錦です。

今日リリースされたmacOSHighSierraですが、早速脆弱性が見つかっています。正確には、過去のバージョンにもあった脆弱性ということです。

Keychainで脆弱性

今回の脆弱性は、macOS上でのパスワード等の保存に使用される、Keychainというアプリにあります。これは、ユーザーのWiFiパスワード・クレジットカードパスワード・ログイン情報などを保存していおくアプリで、それらの管理も行っています。 本来、それらにアクセスするにはマスターパスワードが必要です。しかし、その脆弱性をつけばアクセス出来るというものです。

Apple Gatekeeperで回避を

ブラウザなどでアプリやソフトをダウンロードした時、ポップアップで「開発者が未確認なので開けません」とでることがあります。これは、Appleに開発者登録していない開発者が作成したアプリに出るもので、Gatekeeperというシステムです。

これは、環境設定から開くことができます。また、アプリの起動許可も環境設定で行うことが可能です。

条件付き

今回の攻撃には条件があります。それは、マスターパスワードと、Macのパスワード(パスコード)が同一であること。

つまり、パスワードとマスターパスワードを変えておくことで、安全だということです。

この脆弱性を見つけた研究者は、この脆弱性は過去のバージョンにもあるため、セキュリティ面を重視するなら、他のセキュリティが上がっているHighSierraにアップデートすべきだと述べています。


Source:Forbes