Apple、macOS High Sierra 10.13追加アップデートでディスクユーティリティおよびキーチェーンのパスワードが表示されてしまう2つの脆弱性を修正。

スポンサーリンク

 macOS High Sierra 10.13追加アップデートではディスクユーティリティに暗号化用パスワードが平文で表示されてしまう不具合、およびキーチェーンに保存したパスワードが抽出されてしまう不具合が修正されています。詳細は以下から。

macOSのKeychainのアイコン。

 Appleは本日、macOS 10.13 High Sierra向けにインストーラやAdobe InDesignなどの不具合を修正した「macOS High Sierra 10.13追加アップデート」を公開しましたが、この追加アップデートでは2つの大きな脆弱性が修正されています。

About the security content of macOS High Sierra 10.13 Supplemental Update

スポンサーリンク

ディスクユーティリティ

 ブラジルのエンジニアMatheus Marianoさんによって発見されたディスクユーティリティの脆弱性は、APFSボリュームの暗号化用パスワードが平文のまま保存され、ディスクユーティリティに「パスワード」が「パスワードのヒント」として表示されてしまう脆弱性で、これを利用し悪意のある攻撃者が暗号化されたAPFSボリュームに正規のパスワードを用いてアクセスできる可能性があります。

StorageKit

  • Available for: macOS High Sierra 10.13
  • Impact: A local attacker may gain access to an encrypted APFS volume
  • Description: If a hint was set in Disk Utility when creating an APFS encrypted volume, the password was stored as the hint. This was addressed by clearing hint storage if the hint was the password, and by improving the logic for storing hints.
  • CVE-2017-7149: Matheus Mariano of Leet Tech

About the security content of macOS High Sierra 10.13 Supplemental Update – Apple Support

キーチェーン

 キーチェーンの脆弱性は元NSAでmacOSの脆弱性解析を行っていたPatrick Wardleさんによって報告されており、悪意のあるアプリケーションがキーチェーンアクセスのプロンプトをバイパスすることで、キーチェーン内に保存されたパスワードを抽出できてしまうという脆弱性です。

Security

  • Available for: macOS High Sierra 10.13
  • Impact: A malicious application can extract keychain passwords
  • Description: A method existed for applications to bypass the keychain access prompt with a synthetic click. This was addressed by requiring the user password when prompting for keychain access.
  • CVE-2017-7150: Patrick Wardle of Synack

About the security content of macOS High Sierra 10.13 Supplemental Update – Apple Support

 前者の脆弱性はAPFSボリュームの暗号化用パスワードにヒントを追加しないといった方法で回避できますが後者は危険性が高く、Wardleさんは今後カンファレンスなどで情報をディスクローズする様なので、High Sierraへアップグレードされた方は追加アップデートを適用することをお勧めします。