![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
macOS における Disk Arbitration デーモンでの競合状態制御不備により権限が昇格可能となる脆弱性(Scan Tech Report)
脆弱性と脅威 エクスプロイト
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。攻撃者が侵入、またはマルウェアが感染した場合、端末の全権を奪取する目的で当該脆弱性を悪用される可能性があります。macOS の利用者は当該脆弱性に対する影響を確認し、OS のアップデートにより脆弱性に対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
公開されているエクスプロイトコードを用いて検証を実施した結果、現行バージョンである Sierra よりも 2 つ前のメジャーバージョンである Yosemiteまでは、当該脆弱性の影響を受けることを確認しています。マルウェアが感染端末の全権を掌握するために当該脆弱性の悪用を試行する可能性が高いと考えられます。近年は macOS を対象としたマルウェアの報告も目立つため、アップデートにより対策することを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
7.6
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-2533&vector=(AV:N/AC:H/Au:N/C:C/I:C/A:C))
[CVSS v3]
7.0
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-2533&vector=AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
----------------------------------------------------------------------
◆影響を受けるソフトウェア
macOS 10.12.5 未満の macOS が当該脆弱性の影響を受けると報告されています。検証の結果、以下のバージョンの macOS で、当該脆弱性を悪用した権限昇格に成功することを確認しています。古い OS がどこまで影響を受けるかは報告されていません。
・macOS 10.12, BuildVersion 16A323 (Sierra)
・macOS 10.11.6, BuildVersion 15G31 (El Capitan)
・macOS 10.11.1, BuildVersion 15B42 (El Capitan)
・macOS 10.10.1, BuildVersion 14B25 (Yosemite)
----------------------------------------------------------------------
◆解説
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際海にこぎ出す穴だらけの船舶 IoT システム、航路変換も可能(The Register)
前回のInfosecで三菱自動車のOutlanderと電気ケトルのハッキングの仕方を説明したばかりのこのチームは、今回衛星通信やその他の航海システムに目を向けた。
-
電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演
11月30日には「CYBERTECH Tokyo」が開催され、イスラエル経済産業大臣、エリ・コーヘン氏、イスラエル国家サイバー本部(INCD)CEO イガル・ウナ氏、イスラエル電力公社(IEC)会長 イフタフ・ロン・タル元少将らによる講演が行われた。
-
人材管理サービス PageUp が不正な活動と情報漏えいを報告、大口顧客の懸念(The Register)
少しだけ良い知らせとしては、パスワードにはソルトを使ったハッシュ化が施されていた。
-
git コマンドにおけるディレクトリトラバーサルにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
git コマンドに値検証不備に起因する遠隔コード実行の脆弱性が報告されています。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)
Chrome拡張機能「5000兆円コンバーター」にXSSの脆弱性(JVN)
iOSアプリ「ANA」に通信内容の取得や改ざんなどが行なわれる脆弱性(JVN)
80/TCPへのMiraiボットの特徴を持つアクセスの増加を確認(警察庁)
「BIND 9.x」に意図しないアクセス許可の脆弱性、対応を呼びかけ(JPRS)
CMS「Zenphoto」に機微な情報の取得や任意コード実行の脆弱性(JVN)
インシデント・事故 記事一覧へ
患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)
不正アクセスにより退会者を含むホームページの会員情報の一部が流出(東芝産業機器システム)
申込フォームが公開モード、「第5回しんけんトリニータ東京の陣」参加者個人情報が閲覧可能に(大分フットボールクラブ)
海外子会社へ不正アクセス、顧客情報流出の可能性(野村ホールディングス)
他の職員のIDでグループウェアへ不正ログイン、減給10分の1の懲戒処分に(多可町)
メール誤送信で188名のアドレスが流出(公正取引委員会)
調査・レポート・白書 記事一覧へ
脆弱性の76%は攻撃者側に先行利益(テナブル)
日本はサイバーセキュリティ戦略の見直し頻度が特に高い--グローバル調査(PwC)
2017年の個人情報漏えい調査の速報値を公開、引き続き件数の減少が続く(JNSA)
2017年度の国内セキュリティサービス市場は2,750億円、2022年度には4,100億円突破へ(ITR)
ランサムウェアは標的を企業に絞る傾向、犯罪者はマイニングに移行か(エフセキュア)
セキュリティ対策の必要性、経営者向けに見える化するマニュアル(JNSA)
研修・セミナー・カンファレンス 記事一覧へ
電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演
参加無料「夏休み親子セキュリティ教室」全国4カ所で開催(トレンドマイクロ)
![[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由 画像](/imgs/std_m/24721.jpg)
[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由
多様化する「Web分離」、失敗しない製品選びを専門家が解説
来週開催 Interop Tokyo 2018 セキュリティ関連講演リスト
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
![[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像](/imgs/std_m/22570.jpg)
![[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像](/imgs/std_m/21969.jpg)
