セキュリティ面では今日、多くの新情報が 飛び込んできました。Forbes誌によると 、OS Xの「Rootpipe」脆弱性は、最近のOS X 10.10.3アップデートで修正されたと報じられているものの、依然として存在しているとのことです。また、本日、HTTPSの脆弱性により、1,500本のiOSアプリが中間者攻撃に対して脆弱な状態にあると報じました。
フォーブス誌は、元NSAエージェントのパトリック・ウォードル氏が、OS X 10.10.3およびそれ以前のバージョンを実行しているMacにルートパイプの脆弱性がまだ存在していることを発見したと報じている。
Appleは攻撃を阻止するために追加のアクセス制御を導入しましたが、ウォードル氏のコードは依然として脆弱なサービスに接続し、Mac上のファイルを上書きすることができました。「今日の午後、Apple Storeに行って展示モデルで試してみようかとも思いましたが、結局、個人用のラップトップ(完全にアップデート/パッチ適用済み)とOS X 10.10.3(仮想マシン)でテストすることにしました。どちらも問題なく動作しました」とウォードル氏はFORBESへのメールで述べています。彼はブログ記事で、この脆弱性は「ローカルユーザーなら誰でもRootpipeを悪用できる、斬新でありながら簡単な手段だ」と述べています。
昨年10月に発見されたルートパイプは、ハッカーがシステムに隠されたバックドアを作成し、ローカル権限を取得した後にコンピュータへのルートアクセスを可能にする脆弱性です。この脆弱性を悪用するには、Macへの物理的なアクセスが必要であることに注意してください。
アップルはフォーブスの報道についてまだコメントしていない。
Appleは最近、システムに存在するセキュリティ脆弱性「FREAK」を修正しました。この脆弱性により、MacからApple TVまで、あらゆるデバイスが機密情報の盗難に遭う危険性がありました。
(MacRumors経由)
