Apple、macOS 10.13.4 High SierraでAPFS暗号化ボリュームのパスワードが平文のままログに保存されてしまう脆弱性を修正。

　AppleはmacOS 10.13.4 High SierraでAPFS暗号化ボリュームのパスワードが平文のままログに保存されてしまう脆弱性を修正したそうです。詳細は以下から。

　Appleは本日、macOS High Sierraの4度目のアップデートとなる「macOS 10.13.4」を正式にリリースしましたが、このアップデートではディスクユーティリティアプリで、APFS暗号化ボリュームを作成する際に利用したパスワードが平文のままログに保存されてしまう不具合が修正されているそうです。

APFS/Disk Management

• Available for: macOS High Sierra 10.13.3
• Impact: An APFS volume password may be unexpectedly truncated
• Description: An injection issue was addressed through improved input validation.
• CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
• CVE-2018-4108: Kamatham Chaitanya of ShiftLeft Inc., an anonymous researcher

About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan – Apple Support

　Appleが公開したmacOS 10.13.4で修正された脆弱性の一覧にはAPFSパスワードが予期せず表示されてしまうという脆弱性がAPFSとDisk Managementの2つクレジットされており、確認したところログに”diskmanagementd”デーモン含めAPFS暗号化ボリュームのパスワードが表示されることがなくなっているので、ユーザーの方は時間を見つけてアップデートすることをお勧めします。

• About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan – Apple Support