メールクライアント「Airmail v3 for Mac」にデータ流出の恐れがある脆弱性が発見され、開発元のBloopがパッチを公開しています。詳細は以下から。
AirmailシリーズはイタリアのBloop S.R.L.が開発&販売しているMac/iOS対応のメールクライアントで、2017年のApple Design Awardを受賞し、Mac App Storeのおすすめアプリにもなっていますが、このAirmailの最新版「Airmail v 3.5.5 for Mac」に複数の脆弱性が見つかったそうです。
Our Research team's latest discovery involves exploiting one of Apple's leading email clients, allowing a user to steal emails via protocol scheme abuse https://t.co/SEL7fCbT7W #infosec #cybersercurity #Apple #hacking #vuln #macOS #securityresearch pic.twitter.com/xlIzHU8sxg
— VerSprite Security (@VerSprite) 2018年8月22日
The macOS email client Airmail 3 contains a number of severe vulnerabilities, researchers claim, with attackers potentially able to use the exploits to steal a user’s emails and attachments, just from the user opening a specially-constructed message.
Phishing for Files with Airmail 3 for Mac – VerSprite
脆弱性を報告したVerSprite Securityによると、Airmail for Macには4つの脆弱性が存在し、そのうち2つは悪意のある攻撃者がユーザーに特定のリンクをクリックさせるだけで”send mail”のURLスキームがユーザーの許可無く実行できる脆弱性とメールデータを保存するSQLiteデータベースのパスが予測できるというもので、
この2つを利用することでユーザーに特定のリンク(URLスキーム)をクリックさせるだけで悪意のある攻撃者にユーザーデータを送信してしまう可能性があるとして、その実証動画を公開しています。
Airmail v3.6アップデート
これに対し、開発元のBloopは本日、緊急のアップデートをMac App Storeを通して公開し、危険性の高いURLスキームの脆弱性を修正したと発表しているので、Airmailユーザーの方は利用する前にアップデートを適用することをお勧めします。
Airmail 3.6 – August 2018
- Potential URL Scheme Vulnerability Fix
Lightning Fast Mail Client for Mac and iPhone – Airmail
- Lightning Fast Mail Client for Mac and iPhone – Airmail
- Phishing for Files with Airmail 3 for Mac – VerSprite
コメント
これってカテゴリはAirMacなの?
先ほどカテゴリーの箇所修正しましたので、数分後には修正されていると思います。