High Sierra betaを含むmacOSに権限昇格のゼロデイ脆弱性が発見されたようです。詳細は以下から。
元NSAなどで脆弱性の解析を行い、現在は脆弱性チェックサービスSynackのR&D部門でディレクターを務めるPatrick Wardleさんによると、現在Appleが開発者向けに公開しているmacOS High Sierraを含むmacOSに一般ユーザーが認証無しにrootユーザーになることが出来る権限昇格のゼロデイ脆弱性が発見されたそうです。
found neat design flaw in macOS (incl. High Sierra) that can be abused to locally pop r00t shellz 😈☠️🍎 Hope to discuss @ upcoming con! #0day pic.twitter.com/5etZ7FbTrp
— patrick wardle (@patrickwardle) 2017年8月28日
Patrickさんが公開した動画にはユーザー権限で”getr00t”を実行後、rootへと切り替わるPoCが映し出されており、Patrickさんは現在この脆弱性を他のユーザーと議論しており、確認されればrootpipe脆弱性の様に次期macOSのアップデートで修正されると思われるので、興味のある方は今後公開されるAppleのセキュリティ・アップデートにPatrickさんがクレジットされているかチェックしてみて下さい。
コメント