AppleはmacOS 10.15.7 (19H1323)やmacOS 11.4 Big Sur (20F71)で権限のないアプリがUSBキーボードやマウスの入力をキャプチャできてしまう脆弱性を修正したそうです。詳細は以下から。
Appleは現地時間2021年07月21日、macOS 10.15.7 Catalina向けにBuild 19H1323となる「セキュリティアップデート 2021-004 Catalina」を公開しましたが、このセキュリティアップデートでは権限のないアプリがUSBキーボードやマウス入力をキャプチャできてしまう脆弱性(CVE-2021-30731)が修正されたそうです。
この脆弱性はUTMチームが発見したもので、macOS Catalina 10.15.7 Build 19H1323および05月にリリースされたmacOS Big Sur 11.4 Build 20F71より前のバージョンでは承認が必要なcom.apple.vm.device-access エンタイトルメントまたはroot権限が必要なUSBデバイスのキャプチャがそれらの権限なしに実行できてしまうそうです。
Details: Apple says https://t.co/itng2JkNgR.vm.device-access entitlement (requires registration) OR running an app as root is required to capture USB. But on < macOS 11.4 it wasn’t enforced at all so any app can capture your USB keyboard or most other USB devices.
— UTM (@UTMapp) July 21, 2021
これにより、悪意のある攻撃者がMac App Storeを通して配布したアプリをUSBキーボード&マウスからの入力情報を収集するキーロガーとして利用することも可能になっていたそうなので、まだセキュリティアップデートを適用していない方は時間を見つけてアップデートすることをお勧めします。
IOUSBHostFamily
- Available for: macOS Catalina
- Impact: An unprivileged application may be able to capture USB devices
- Description: This issue was addressed with improved checks.
- CVE-2021-30731: UTM (@UTMapp)
- About the security content of macOS Big Sur 11.4 – Apple Support
- About the security content of Security Update 2021-004 Catalina – Apple Support
コメント