Apple、Macのウィルス定義データベース「XProtect」を更新。自動的にキーチェーンアクセスの許可ボタンを押させるインストーラー「OSX.Genieo.C」をブロック。

　AppleがMacのウィルス定義データベース「XProtect」を更新し自動的にキーチェーンアクセスの許可ボタンを押させるインストーラー「OSX.Genieo.C」をブロックしています。詳細は以下から。

新しいGenieoインストーラー

　MackeeperやVSearchなどを同梱し目的のアプリと同時にこれらのアプリをインストールさせる”Genieo”というインストーラーがありますが、今週初めMalwarebytesの主任研究員Thomas ReedさんがこのGenieoインストーラーに「キーチェーンへのアクセス要求をし、

プロンプトが表示されたところでキーチェーンアクセスの許可ボタンを自動的に押させる」という新機能が加わっていることを発見しましたが、

関連リンク

• Macへアドウェアをインストールするだけでなく、自動的にキーチェーンへのアクセス許可をクリックさせるインストーラーが発見される
• OS Xのキーチェーンに脆弱性？セキュリティ研究者がキーチェーンへのアクセス許可を単純な方法で自動的にクリックさせるPoCを公開
• ユーザーの許可無くキーチェーン アクセスの許可ボタンを自動的に押すマルウェアのコンセプトは2011年から存在し進化していったもよう

　Appleは現地時間 9月4日にOS XのウィルスデータベースであるXProtectを更新し、このGenieoインストーラー をブロックリストに加えたXProtect v2067を発行しています。

　またSafariのセキュリティを担う”XProtect.meta.plist”ではSafariのFlash Player PluginがFlash Player および Flash Player ESRとも最新の18.0.0.232以外をブロックし、com.eliaho.safari製のプラグインをブロックしています。

　今年に入ってのXProtectのアップデート実施日は以下の通りで、今回のアップデートで10回目のアップデートとなっています。

• 2015年01月27日：XProtect v2057 (古いFlash Playerをブロック)
• 2015年02月14日：XProtect v2058 (XProtectを更新)
• 2015年03月22日：XProtect v2059 (古いFlash Playerをブロック)
• 2015年04月22日：XProtect v2060 (古いFlash PlayerをブロックしXProtectを更新)
• 2015年05月27日：XProtect v2061 (古いFlash Playerをブロック)
• 2015年06月26日：XProtect v2063 (古いFlash Playerをブロック)
• 2015年07月10日：XProtect v2064 (古いFlash Playerをブロック)
• 2015年07月15日：XProtect v2065 (古いFlash PlayerとJava Pluginをブロック)
• 2015年08月04日：XProtect v2066 (XProtectを更新)
• 2015年09月03日：XProtect v2067 (古いFlash PlayerをブロックしXProtectを更新)

　XProtectのアップデートは順次自動的にアップデートされ、バージョンチェックは以下のdefaultsコマンドで確認できます。また、検体情報についてはVirusTotalに登録されていないため、確認出来次第追記します。

• XProtect

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

• Gatekeeper

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

関連リンク：

• Apple、Macのウィルス定義データベース「XProtect」を更新。ゼロデイ攻撃が確認された”sudoer”ファイルを書換えるアドウェアインストーラーを無効化