![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2018100901.png){kind=logo}
macOS における Disk Arbitration デーモンでの競合状態制御不備により権限が昇格可能となる脆弱性(Scan Tech Report)
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。攻撃者が侵入、またはマルウェアが感染した場合、端末の全権を奪取する目的で当該脆弱性を悪用される可能性があります。macOS の利用者は当該脆弱性に対する影響を確認し、OS のアップデートにより脆弱性に対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
公開されているエクスプロイトコードを用いて検証を実施した結果、現行バージョンである Sierra よりも 2 つ前のメジャーバージョンである Yosemiteまでは、当該脆弱性の影響を受けることを確認しています。マルウェアが感染端末の全権を掌握するために当該脆弱性の悪用を試行する可能性が高いと考えられます。近年は macOS を対象としたマルウェアの報告も目立つため、アップデートにより対策することを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
7.6
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-2533&vector=(AV:N/AC:H/Au:N/C:C/I:C/A:C))
[CVSS v3]
7.0
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-2533&vector=AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
----------------------------------------------------------------------
◆影響を受けるソフトウェア
macOS 10.12.5 未満の macOS が当該脆弱性の影響を受けると報告されています。検証の結果、以下のバージョンの macOS で、当該脆弱性を悪用した権限昇格に成功することを確認しています。古い OS がどこまで影響を受けるかは報告されていません。
・macOS 10.12, BuildVersion 16A323 (Sierra)
・macOS 10.11.6, BuildVersion 15G31 (El Capitan)
・macOS 10.11.1, BuildVersion 15B42 (El Capitan)
・macOS 10.10.1, BuildVersion 14B25 (Yosemite)
----------------------------------------------------------------------
◆解説
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
PHP において、IMAP によりメールを操作するために使用する imap_open 関数に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
-
Lost Pass (パスワード消失)? ユーザー激怒させた LastPass の 5 時間のサービス停止が与えた影響(The Register)
11月20日「LastPass」のクラウドサービスが 5 時間停止したため、パスワードマネージャを使ってアカウントにログインできない事態が発生した。
-
jQuery-File-Upload において遠隔から任意のファイルがアップロード可能となる脆弱性(Scan Tech Report)
Web サーバにファイルアップロード機能を実装するためのライブラリである jQuery-File-Upload のサンプルアプリケーションに、認証を回避して任意のファイルがアップロード可能となる脆弱性が報告されています。
-
サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究
メディアでは、サイバー攻撃とマフィアの関係を報じることはあるが、その詳細をなかなか表にでてこない。マフィア研究では、シェリング、ガンベッタ、ヴァレーゼらの論文が有名だが、新たな論文がジョナサン・ラスタウス氏によって発表された。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「i-FILTER」に悪意あるスクリプトを実行される複数の脆弱性(JVN)
セイコーエプソンの複数のプリンタ、スキャナ製品に脆弱性(JVN)
Appleが「macOS」「iOS」など8製品のセキュリティアップデートを公開(JVN)
Adobe Flash Playerアップデート、攻撃も確認されているため至急の適用を(JPCERT/CC、IPA)
オムロンのFA統合ツールパッケージ「CX-One」に複数の脆弱性(JVN)
PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
インシデント・事故 記事一覧へ
業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失(スターキャット・ケーブルネットワーク)
事務処理の誤りでふるさと納税寄付者の全データを掲載(山形市)
市立中学校の教員が技術科2学期末テストの解答用紙を紛失(大阪市)
交付前のマイナンバーカードと交付用端末1台が盗難被害、職員を懲戒処分に(横浜市)
任天堂グッズ販売Webサイトへ4ヶ月にわたり不正アクセス、カード情報が流出(エディットモード)
第三者からの不正アクセスにより改ざん被害、悪意あるサイトへ自動的に誘導(SHF)
調査・レポート・白書 記事一覧へ
企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー)
「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」
「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁)
日本語のBECやセクストーション初確認、日本への攻撃が本格化か(トレンドマイクロ)
2018年前期に報道された情報システム障害は35件、高水準で推移(IPA)
不正払い戻しの被害が個人・法人ともに半分以下に減少(全銀協)
研修・セミナー・カンファレンス 記事一覧へ
誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance)
小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア)
サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究
![2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018] 画像](/imgs/std_m/25811.jpg)
2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018]
セキュリティ競技 Hardening Project、スポンサー参加の新しい形
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
