Apple、macOS 10.13.4 High Sierra向けに一部のアプリで権限昇格やリンクが偽装される恐れがある脆弱性を修正した「セキュリティアップデート 2018-001」をリリース。

スポンサーリンク

 AppleがmacOS 10.13.4 High Sierra向けに一部のアプリで権限昇格やリンクが偽装される恐れがある脆弱性を修正した「セキュリティアップデート 2018-001」をリリースしています。詳細は以下から。

macOS 10.13 High Sierraのインストーラーアイコン。

 Appleは現地時間2018年04月24日、非純正品のタッチスクリーンがiPhone 8シリーズで反応しなくなる問題に対処したiOS 11.3.1と共に、macOS 10.13.4 High Sierra向けに「セキュリティアップデート 2018-001」をリリースしています。

macOS 10.13.4 High Sierra セキュリティアップデートのリリースノート

セキュリティアップデート2018-001を全てのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します。

リリースノートより

スポンサーリンク

修正された脆弱性

 セキュリティアップデート 2018-001のリリースノートには「macOSのセキュリティが向上します」という一文しかありませんが、同アップデートではMacBook ProのTouch Barの不具合を利用し悪意のある攻撃者がシステム権限を取得し任意のコードを実行できる不具合を発見したGoogle Project ZeroのIan Beerさんにより、新たに報告された”Crash Reporter”の不具合を利用した権限昇格の脆弱性や、

Crash Reporter

  • Available for: macOS High Sierra 10.13.4
  • Impact: An application may be able to gain elevated privileges
  • Description: A memory corruption issue was addressed with improved error handling.
  • CVE-2018-4206: Ian Beer of Google Project Zero

About the security content of Security Update 2018-001 – Apple Support

Roman Muellerさんらによって発見された悪意のあるユーザーにより作成されたテキストメッセージを処理すると、そこに表示さているURLとは違うURLへ転送されてしまう”LinkPresentation”のリンク偽装問題についても修正されているそうなので、High Sierraユーザーの方は時間を見つけてアップデートすることをお勧めします。

この脆弱性CVE-2018-4187はiOS 11.3.1でも同様に修正されています。

追記

 セキュリティアップデート 2018-001適用後のBuild Numberは17E202となっていました。