macOS 10.14.6 MojaveではNFSボリューム上のファイルをGatekeeperがチェックせず、バイパスされてしまう脆弱性が修正される。

　macOS 10.14.6 MojaveではNFSボリューム上のファイルをGatekeeperがチェックせず、バイパスされてしまう脆弱性が修正されたそうです。詳細は以下から。

　Appleは現地時刻2019年07月22日、Macが再起動中にハングする問題やスリープ復帰時にグラフィックが乱れる問題を修正した「macOS Mojave 10.14.6 (18G84)」をリリースしましたが、このアップデートでは以前から問題になっていたGatekeeperがバイパスされ任意のコードを実行できてしまう脆弱性(CVE-2019-8656)が修正されているそうです。

autofs

• Available for: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
• Impact: Extracting a zip file containing a symbolic link to an endpoint in an NFS mount that is attacker controlled may bypass Gatekeeper
• Description: This was addressed with additional checks by Gatekeeper on files mounted through a network share.
• CVE-2019-8656: Filippo Cavallarin

About the security content of macOS Mojave 10.14.6, Security Update 2019-004 High Sierra, Security Update 2019-004 Sierra – Apple Support

　この脆弱性はmacOSのGatekeeperがNFS共有ボリュームを安全な場所(Safe locations)と見なしていることを利用し、NFS共有ボリュームまでのシンボリックリンクを加えたzipファイルを配布＆解凍させautofsにより自動マウントさせるだけで、Gatekeeprをバイパスできてしまうというもので、発見したイタリアのセキュリティ研究者Filippo Cavallarinさんは2019年02月にAppleに報告するも、その後Appleがこの問題を放置したため90日後の05月に詳細を公開したため、この脆弱性を悪用する(テストしている)マルウェア「OSX/Linker」が出現する事態となっていました。

　Appleのリリースノートによると、この脆弱性はGatekeeperがネットワーク共有からマウントされたファイルをチェックすることで修正されたそうですが、macOS 10.14.6 MojaveアップデートおよびmacOS 10.12.6 Sierra/10.13.6 High Sierra向けのセキュリティアップデート 2019-004より前のmacOSにはこの脆弱性が存在しているので、ユーザーの方は時間を見つけてアップデートすることをお勧めします。

• MacOS X GateKeeper Bypass – FCVL
• About the security content of macOS Mojave 10.14.6, Security Update 2019-004 High Sierra, Security Update 2019-004 Sierra – Apple Support