macOS の Timemachine においてコマンドインジェクションにより管理者権限の奪取が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.18(日)

macOS の Timemachine においてコマンドインジェクションにより管理者権限の奪取が可能となる脆弱性(Scan Tech Report)

Apple macOS のバックアップ作成ソフトウェアである Timemachine に、コマンドインジェクションの脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

 Apple macOS にて、ディスクのバックアップの作成に用いる標準ソフトウェアである Timemachine に、権限昇格につながる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、対象ホストへの侵入に成功した攻撃者に管理者権限を奪われてしまいます。セキュリティアップデートにより対策してください。

◆分析者コメント

 対象ホストへの侵入が前提となる脆弱性ですが、幅広いバージョンの macOS が当該脆弱性の影響を受けます。また、攻撃手法が容易であることから、攻撃者に悪用される可能性が高い脆弱性であると考えられます。セキュリティアップデートにより早急に対策することを推奨します。

◆影響を受けるソフトウェア

 以下のバージョンの Apple macOS が当該脆弱性の影響を受けます。

  - macOS Sierra 10.12.6 およびそれより古いバージョン
  - macOS High Sierra 10.13.6 およびそれより古いバージョン
  - macOS Mojave 10.14.6 およびそれより古いバージョン


◆深刻度(CVSS)

[CVSS v2]
4.4
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:M/Au:N/C:P/I:P/A:P)

※ 本記事執筆時点 (2019 年 7 月 16 日) で NVD に CVE 情報が登録されていないため、Rapid7 の情報を元に算出したものです。

   Rapid7
   https://www.rapid7.com/db/vulnerabilities/apple-osx-timemachine-cve-2019-8513

◆解説

 Apple macOS のバックアップ作成ソフトウェアである Timemachine に、コマンドインジェクションの脆弱性が報告されています。
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×