深刻なOSXの脆弱性Rootpipeは結局修正されていません

元NSAスタッフによると、OS XYosemiteに影響を与える重大なセキュリティ上の欠陥は以前考えられていたように修正されていません。

Rootpipeとして知られるこの欠陥は、2011年から存在していると言われており、攻撃者が認証を必要とせずに別のユーザーのMacを完全に制御できる可能性があります。

これを行うために、「ルートアクセス」と呼ばれるものが開かれます。これは、コンピューター上で最高の特権アクセスとも呼ばれます。 ただし、Macを使用しているのがあなただけであっても心配する必要はありません。この脆弱性では、管理者アクセスを取得するために、攻撃者になる可能性のあるマシンに物理的にアクセスする必要があります。

それにもかかわらず、脆弱性はによって修正されたと考えられていました 最新のOSXアップデート、しかし明らかにそうではありません。

元NSAの従業員であり、現在はセキュリティ会社Synackの責任者であるパトリック・ウォードルは、飛行機の飛行中にこの脆弱性を悪用する方法を発見しました。 Appleは攻撃を阻止する方法として追加のアクセス制御を実装しましたが、それでもWardleは自分のコードを使用してMac上のファイルの上書きを開始することができました。

Appleは10月にRootpipeの脆弱性について知らされましたが、4月に障害に対処することしかできませんでした。 問題は解決されたと信じられていましたが、今日のストーリーの更新は、これがまだ終わっていないことを示唆しています。

ウォードルは、彼の側として、欠陥に関する彼のすべての発見を引き渡した。

ソース： フォーブス