「macOS High Sierra」の脆弱性で、署名されていないアプリケーションがキーチェーンのログインを平文で盗む可能性が

「macOS High Sierra」の脆弱性で、署名されていないアプリケーションがキーチェーンのログインを平文で盗む可能性が

Appleの本日リリースされたばかりの「macOS High Sierra」には、ユーザーがセキュリティを意図的に無効にする必要があるが、アプリはキーチェーンのパスワードを平文で発見できる脆弱性が含まれています

「macOS High Sierra」の脆弱性

SynackリサーチディレクターのPatrick Wardle氏が作成したプライベートコンセプトアプリは、この脆弱性を利用して、FacebookやBank of AmericaなどのWebサイトのログインをリッピングすることができました

Forbesとの会話でWardle氏は、人がログインしていれば攻撃が機能し、rootアクセスを必要としないと述べています

しかしながら、コンセプトアプリは、署名されていないソフトウェアを信頼することに関する警告を含む、macOSのセキュリティ設定を故意に解除しダウンロード、インストール、実行しなければ要求しません






「macOS High Sierra」は本日リリースされましたが、ベータ版は6月5日から公開されています

セキュリティ問題が今日発見されたのか、それとも以前に発見されたのかは明らかではありません

AppleはForbesからのコメントの要請には返答しなかったため、修正に取り掛かっているかどうかは不明です

画像元:appleinsider
(Via appleinsider.)



LEAVE A REPLY

*
*
* (公開されません)