Apple、Macのウィルス定義データベース「XProtect」を更新。ゼロデイ攻撃が確認された”sudoer”ファイルを書換えるアドウェアインストーラーを無効化。

記事内に広告が含まれています。
スポンサーリンク

 AppleがMacのウイルス定義データベース「XProtect」を更新し、ゼロデイ攻撃が確認された”sudoer”ファイルを書換えるアドウェアインストーラーを無効化したようです。詳細は以下から。


XProtect-Update-Hero


DYLD_PRINT_TO_FILEの脆弱性

 7月7日にドイツのセキュリティ企業”SektionEins”が公開したDYLD_PRINT_TO_FILE脆弱性は一般ユーザーがroot権限を取得できる権限昇格の脆弱性を含んでいたことから直ぐにExploit Codeも公開され、8月始めにはこのCodeを使用したアドウェアも現れました。

関連記事

XProtectをアップデート

 Appleはこれに対し本日OS XのウィルスデータベースであるXProtectをアップデートし、XProtect v2066を発行しています。


XProtect-meta-plist-2066

 今回のXProtect v2066ではDYLD_PRINT_TO_FILEの脆弱性を利用しOS Xのsudoerファイルを書換え、root権限でアドウェアをインストールするアプリ”OSX.Genieo.B”を追加、さらに”OSX.InstallImitator”.Cと.Aに新たなデータベースを更新しています。


diff-XProtect-v2065-and-v2066-Hero

 今年に入ってのXProtectのアップデート実施日は以下の通りで、Appleは通常Adobe Flashアップデートが行われた後にSafariで使用するFlash Playerプラグインをブロックする定例アップデートと同時にデータベースをアップデートしていますが、

  • 2015年01月27日:XProtect v2057 (古いFlash Playerをブロック)
  • 2015年02月14日:XProtect v2058 (XProtectを更新)
  • 2015年03月22日:XProtect v2059 (古いFlash Playerをブロック)
  • 2015年04月22日:XProtect v2060 (古いFlash PlayerをブロックしXProtectを更新)
  • 2015年05月27日:XProtect v2061 (古いFlash Playerをブロック)
  • 2015年06月26日:XProtect v2063 (古いFlash Playerをブロック)
  • 2015年07月10日:XProtect v2064 (古いFlash Playerをブロック)
  • 2015年07月15日:XProtect v2065 (古いFlash PlayerとJava Pluginをブロック)
  • 2015年08月04日:XProtect v2066 (XProtectを更新)

 今回のアップデートはAdobe Flash PlayerやJavaプラグインのアップデートは行われていないため、DYLD_PRINT_TO_FILEの脆弱性に対応した緊急アップデートだと思われます。検体情報についてはVirustotalのOSX.Genieo[1, 2]を参照して下さい。


Virustotal-Mac-OS-X-Genieo-EV

 また、このアドウェアインストーラーを発見したMalwarebytesの研究員Adam ThomasさんによるとAppleはこのインストーラーを開発した悪意のある開発者のDeveloperの署名を無効化したようです。


 Appleは開発者向けに公開しているOS X 10.10.5 Yosemite Beta 2 Build 14F19aでこの脆弱性を修正していますが、Yosemite最後のアップデートになると予想されるOS X 10.10.5のリリースまでまだ暫く時間がかかると思われるので、心配な方はSektionEins社が用意した”SUIDGuard”の適用をお勧めします。


DYLD_PRINT_TO_FILE-OS-X-10105

おまけ

 XProtectやGatekeeperのバージョンはXProtect.meta.plistを直接開くか、以下のdefaults readで確認することが出来ます。

・XProtect

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

・Gatekeeper

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

 まだアップデートされていない場合は以下のコマンドで手動アップデートも可能ですが、

$sudo softwareupdate --background-critical

ステム環境設定の[App Store] > [アップデートを自動的に確認]と[システムデータファイルとセキュリティアップデートをインストール]をOFFにした状態だとアップデートされないb.hatenaので注意して下さい。


AppStore-アップデートを自動的に確認-Hero2

関連リンク:

コメント

タイトルとURLをコピーしました