Google、Project Zeroで発見したOS Xのゼロデイ脆弱性3つを公開。AppleはOS X 10.10.2でこれらを修正するもよう。

　Googleのセキュリティチーム”Project Zero”がOS Xのゼロデイ脆弱性3つを公開しています。詳細は以下から。

　Ars Technicaの記事”Google drops three OS X 0days on Apple“によると「Googleが公開したOS Xに関する3つの脆弱性（Issue 130, 135, 136）は2014年の10月に発見された後Appleに伝えられ、Project Zeroの『脆弱性が90日経過しても修正されない場合には公開する』という開示方針の下一昨日公開された」そうで、どの脆弱性も攻撃者が直接Macにアクセスする必要があるため”Critical”ではないようですが、

Don’t look now, but Google’s Project Zero vulnerability research program may have dropped more zero-day vulnerabilities—this time on Apple’s OS X platform.

In the past two days, Project Zero has disclosed OS X vulnerabilities here, here, and here. At first glance, none of them appear to be highly critical, since all three appear to require the attacker to already have some access to a targeted machine. 
[Google drops three OS X 0days on Apple – Ars Technica]

　Issue 135については攻撃者が一般ユーザーからroot権限を手に入れることができるいわゆる”Elevate Privileges”のアイデア（Proof of Concept）で、これは以前にKyarnhammar氏によって報告されたrootpipeのPoCかもしれませんが、

（Kyarnhammar氏によるとrootpipeはOS X 10.10.1では修正されていないそうです）

　iMoreのRitchie氏によると1つめの脆弱性はGoogleによって修正され、残り2つもAppleが昨日開発者向けにリリースしたOS X 10.10.2 Beta（Build 14C106a）で修正しているそうで、OS X 10.10.2のリリースも間近に迫っているようです。

Google’s Project Zero research program has disclosed and released proof-of-concept code for a series of 0day — previously unknown — vulnerabilities found in Apple’s OS X operating system for the Mac. It should be noted, however, that the first vulnerability was marked as fixed and closed by Google two weeks ago, and the others are fixed in OS X Yosemite 10.10.2, now in beta.

[Latest OS X 10.10.2 beta kills Google-disclosed vulnerabilities dead – iMore]

関連リンク：
・Google drops three OS X 0days on Apple – Ars Technica

・Latest OS X 10.10.2 beta kills Google-disclosed vulnerabilities dead – iMore

OS X Yosemite パーフェクトマニュアル [単行本（ソフトカバー）]

井村 克也

ソーテック社