現時点では保護できない

新たなゼロデイが案内されています。
macOS Finderの脆弱性です。
この問題は、次のように動作します。

  • inetlocという拡張子のファイルを作成する
  • inetlocファイルをメールに添付して攻撃対象に送信する
  • 受信した人がinetlocファイルをクリックする
  • macOS Finderは、ユーザーにプロンプトや警告を表示することなく、ファイルに埋め込まれたコマンドを実行する

inetlocファイルは、インターネットロケーションファイルで、オンラインリソース(news://、ftp://、afp://)またはローカルファイル(file://)を開くために使用できるシステム全体のブックマークとして利用できるものとして用意されたものです。
これを処理するときにmacOS Finderでサニタイジングが十分に実施されていないことから、リモートからコードを実行できてしまう脆弱性となっています。

脆弱性が確認されること自体はソフトウェアの宿命なのかもしれませんが、その取扱いは注意して進めたいものです。
今回の件ではApple社はこんな動きになってしまっています。

  • CVE識別番号を割り当てずに問題を黙って修正し、それをパッチとして公開した
  • パッチで対応された修正内容の網羅性が高くなく、依然として問題利用ができる状態となってしまっている
  • 前述の依然として問題利用ができる状態となってしまっているという連絡に対してAppleは発見者に応答していない

この流れは厳しいです。

さらに、もう少し厳しいことがわかっています。

  • 概念実証エクスプロイトを使って概念実証を実施したところ、実際に攻撃が成り立ってしまう
  • 現時点(2021-09-21 21:38:52 UTC)では、VirusTotalで確認できるどのアンチウイルスエンジンでも検出されない

警告やプロンプトなしでリモートコマンド実行できてしまうのに、いま利用できる一般的なアンチウイルス製品でカバーできないのです。
これは危険です。

みなさま、注意が必要です。

参考記事(外部リンク):New macOS zero-day bug lets attackers run commands
remotely

www.bleepingcomputer.com/news/apple/new-macos-zero-day-bug-lets-attackers-run-commands-remotely/

参考記事(外部リンク):PoCとして作成された問題のある状態のファイルのVirusTotalの検査結果
www.virustotal.com/gui/file/9bb6ce7cb19b779bc53b8d14ff95da0ddc37be1f383ff47d9186a3b7c1660844

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。