現時点では保護できない
新たなゼロデイが案内されています。
macOS Finderの脆弱性です。
この問題は、次のように動作します。
- inetlocという拡張子のファイルを作成する
- inetlocファイルをメールに添付して攻撃対象に送信する
- 受信した人がinetlocファイルをクリックする
- macOS Finderは、ユーザーにプロンプトや警告を表示することなく、ファイルに埋め込まれたコマンドを実行する
inetlocファイルは、インターネットロケーションファイルで、オンラインリソース(news://、ftp://、afp://)またはローカルファイル(file://)を開くために使用できるシステム全体のブックマークとして利用できるものとして用意されたものです。
これを処理するときにmacOS Finderでサニタイジングが十分に実施されていないことから、リモートからコードを実行できてしまう脆弱性となっています。
脆弱性が確認されること自体はソフトウェアの宿命なのかもしれませんが、その取扱いは注意して進めたいものです。
今回の件ではApple社はこんな動きになってしまっています。
- CVE識別番号を割り当てずに問題を黙って修正し、それをパッチとして公開した
- パッチで対応された修正内容の網羅性が高くなく、依然として問題利用ができる状態となってしまっている
- 前述の依然として問題利用ができる状態となってしまっているという連絡に対してAppleは発見者に応答していない
この流れは厳しいです。
さらに、もう少し厳しいことがわかっています。
- 概念実証エクスプロイトを使って概念実証を実施したところ、実際に攻撃が成り立ってしまう
- 現時点(2021-09-21 21:38:52 UTC)では、VirusTotalで確認できるどのアンチウイルスエンジンでも検出されない
警告やプロンプトなしでリモートコマンド実行できてしまうのに、いま利用できる一般的なアンチウイルス製品でカバーできないのです。
これは危険です。
みなさま、注意が必要です。
参考記事(外部リンク):New macOS zero-day bug lets attackers run commands
remotely
www.bleepingcomputer.com/news/apple/new-macos-zero-day-bug-lets-attackers-run-commands-remotely/参考記事(外部リンク):PoCとして作成された問題のある状態のファイルのVirusTotalの検査結果
www.virustotal.com/gui/file/9bb6ce7cb19b779bc53b8d14ff95da0ddc37be1f383ff47d9186a3b7c1660844
