Appleは、HighSierraオペレーティングシステムに影響を与える重大なバグを修正した緊急アップデートをリリースしました, 特にAPFSボリューム管理システムで. . セキュリティレポートと同社によると、バグによりパスワードヒント機能を介してパスワードが明らかになる可能性がありました.
緊急パッチがAppleの高シエラパスワードバグを修正 (CVE-2017-7149)
このバグはCVE-2017-7149セキュリティアドバイザリで追跡されており、新しいAPFSファイルシステムの実装方法に重大な脆弱性があります。. パスワードヒントの処理方法に問題が見つかりました. ユーザーが設定すると、パスワード自体がプレーンテキストの文字列として保存されます.
発見はMatheusMarianoによって行われました, APFSコンテナ内の新しい暗号化されたボリュームと対話している間のセキュリティ研究者. 彼はヒントと一緒にパスワードを作成することを選びました. 新しいコンテナがマウントされ、パスワードプロンプトがアクティブ化されたとき, パスワードはヒントフィールドに表示されました. 調査中に、この問題はSSDドライブを搭載したMacコンピューターとラップトップにのみ影響することが明らかになりました.
リリースされたパッチは、Appleのオペレーティングシステムに関する別の問題も解決します. 最近、High Sierraは、プレーンテキストのパスワードをキーチェーンからダンプできる脆弱性の影響を受けました. この問題は、エルキャピタンやシエラなどの以前のバージョンにも存在することが疑われます. セキュリティ研究者は、標的となるマシンで侵入ポイントが検出されると、提示された問題は参入障壁が低いと述べています.
Mac OS Xキーチェーンは、オペレーティングシステムで最も重要なセキュリティコンポーネントの1つであり、認証プロセスを直接担当します。. システムユーザーアカウントの資格情報を保持する暗号化されたコンテナを提供します, また、アプリケーションやオンラインサービスに使用されるパスワードと文字列. 最近のバージョンには、機密データを保存する機能も含まれています。: ペイメントカードデータ, 銀行のPINおよびその他の資格情報.
付属のキーチェーンアクセスコンポーネントは、資格情報の入力を自動化することでキーチェーンコンポーネントを処理するパスワード管理ソフトウェアです。. CVE-2017-7149セキュリティアドバイザリに付随する説明は次のとおりです。:
APFS暗号化ボリュームの作成時にディスクユーティリティでヒントが設定された場合, パスワードはヒントとして保存されました. ヒントがパスワードの場合、ヒントストレージをクリアすることでこれに対処しました, ヒントを保存するためのロジックを改善することによって
すべてのMacOSXユーザーは、悪用から身を守るために、すぐにアップデートを適用することをお勧めします.