リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。
ZoomのMac用クライアントに悪意のあるWebサイトにアクセスすることでユーザーの許可なしにMacのカメラが有効にしてしまう脆弱性が発見されています。詳細は以下から。 セキュリティ研究者のJonathan Leitschuhさんは現地時間2019年07月09日、米Zoom Video Communicationsが提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでユーザーの許可なしにMacに接続されているカメラが有効になり、ビデオ通話が開始される、いわゆるカメラハイジャックのゼロデイ脆弱性が発見されたとして詳細を公開し、GitHubリポジトリにPoCを公開ています。 This Zoom vulnerability is bananas. I tried one of the proof of concept link
macOSの既知の脆弱性を利用してsudoやroot権限の取得が可能かをチェックできる「rootOS」がKeyStealやサードパーティアプリの脆弱性に対応。
macOSの既知の脆弱性を利用しsudoやroot権限の取得が可能かをチェックできる「rootOS」がKeyStealやサードパーティアプリの脆弱性に対応しています。詳細は以下から。 rootOSは米ワシントンDCのセキュリティ研究者Aidan Hollandさんが2019年初めに公開したmacOSのセキュリティチェック用スクリプトで、近年発見された「I am root」や「RootPipe」など認証なしにmacOSのroot権限を取得/昇格またはsudoを実行できてしまう脆弱性を集め、一度にチェックできるようにしたものですが、このrootOSがv1.3.0アップデートで「KeySteal」やサードパーティ製アプリを介したroot脆弱性のチェックに対応しています。 rootOS Version 1.3.0 Added KeySteal Fixed Python 2 Compatibilit
Mac用ネットワーク監視アプリ「Little Snitch」にroot権限昇格の脆弱性が発見されたとして、直ちに最新バージョンにアップデートするように指示。
Mac用ネットワーク監視アプリ「Little Snitch」にroot権限昇格の脆弱性が発見されたとして、開発者が直ちに最新バージョンにアップデートするように求めています。詳細は以下から。 Mac用のネットワーク監視/ファイアウォールアプリ「Little Snitch」を開発&販売しているオーストリアのソフトウェア会社Objective Development Softwareは現地時間2019年07月01日、03月にリリースしたLittle Snitch v4.3.xまでにroot権限昇格の脆弱性が発見されたとして、この脆弱性を修正した「Little Snitch v4.4」へ早急にアップデートするよう求めています。 Security This version fixes a vulnerability which allows privilege escalation to root
macOSのGatekeeperをNFS共有とシンボリックリンクを利用してバイパスする脆弱性を使ったマルウェア「OSX/Linker」が確認される。
macOSのGatekeeperをNFS共有とシンボリックリンクを利用してバイパスする脆弱性を使ったマルウェア「OSX/Linker」が確認されたそうです。詳細は以下から。 2019年05月、イタリアのCeo and Senior Security ResearcherでTorブラウザなどの脆弱性を研究しているセキュリティ研究者のFilippo Cavallarinさんが、macOSのGatekeeperが外部ドライブやネットワーク共有(NFS)ボリュームを安全な場所(Safe locations)と位置づけていることを発見し、 悪意のある攻撃者がユーザーにダウンロードさせるzipファイルにNFSボリュームまでのシンボリックリンクを加え、ユーザーをNFSボリュームに誘導させることで非署名のアプリをGatekeeperをバイパスして起動することができると発表しましたが、 IntegoのMal
「Mac」を標的にする「OSX/Linker」マルウェア--「Gatekeeper」の脆弱性を悪用
Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部 2019-06-26 10:33 「Mac」向けのセキュリティソフトウェアを手がけるIntegoによると、「macOS」を狙う悪意ある開発者らは、最近明らかにされた「Gatekeeper」に存在する脆弱性を悪用するマルウェアを積極的に開発しているという。 Integoの主席セキュリティアナリストであるJoshua Long氏が実施した調査によると、「OSX/Linker」と名付けられたこの新たなマルウェアは、「OSX/Surfbuyer」というアドウェアを手がけているグループと関連があるという。 OSX/Linkerは、Gatekeeperに存在する既知の脆弱性を悪用する。Gatekeeperは、インターネットからダウンロードした実行アプリケーションをスキャン/承認する、macOSのセキュリテ
macOS 10.14.3 MojaveまでのmacOSでシステム管理者権限なしにキーチェーンに保存されたパスワードを全て盗むことができ脆弱性「KeySteal」がGitHubで公開。
macOS 10.14.3 MojaveまでのmacOSでシステム管理者権限を必要とせず、キーチェーンに保存されたパスワードを全て盗むことができ脆弱性「KeySteal」がGitHubで公開されています。詳細は以下から。 2019年02月、18歳のドイツの学生Linus Henzeさんがシステム管理者権限なしでmacOSのデフォルト・パスワードマネージャーである「Keychain」に保存されたパスワードを全て盗むことができる「KeySteal」脆弱性を発見し、Appleに報奨金を払うよう要求したことが話題になりましたが(以下参照)、 Linusさんは06月、このKeySteal脆弱性をObjective-Seeのセキュリティ研究者Patrick Wardleさんが主催する”Objective by the Sea”で発表し、ソースコードをGitHubで公開したそうです。 KeySteal(
Macのゲートキーパーセキュリティ機能に欠陥、最新macOS 10.14.5でも対処されず
セキュリティ研究者のフィリッポ・カバラリン(Filippo Cavallarin)氏は、macOSのゲートキーパー(Gatekeeper)セキュリティ機能を回避する方法があることを公表しました。先週のmacOS 10.14.5リリースの時点では、このバイパス方法はAppleによって対処されていないため、この方法が使える状態であることになります。 macOS 10.14.5のGatekeeper(ゲートキーパー)。最新版にも脆弱性が潜んでいるとは。。 ゲートキーパーとは、ダウンロードした直後にアプリケーションを検証するmacOS標準搭載のセキュリティツールです。これにより、ユーザーの同意なしにアプリケーションが実行されるのを防ぐことができます。ユーザーがMac App StoreではないところからアプリをダウンロードするとゲートキーパーがそのアプリのコードがAppleによって署名されているか
macOSのシンボリックリンクとNFS共有の不具合を利用し、最新のmacOS 10.14.5 MojaveでもGatekeeperをバイパスできる脆弱性が発見される。
NFS共有とシンボリックリンクの不具合を利用し、最新のmacOS 10.14.5 MojaveにもGatekeeprをバイパスできる脆弱性が発見されたそうです。詳細は以下から。 イタリアのCeo and Senior Security ResearcherでTorブラウザなどの脆弱性を研究しているセキュリティ研究者のFilippo Cavallarinさんは現地時間2019年05月24日、Appleが05月13日にリリースした最新の「macOS Mojave 10.14.5 (18F132)」を含む全てのmacOS 10.14.xでGatekeeperをバイパスし、任意のコード(アプリ)を実行できる脆弱性が発見したとしてそのPoCなどを公開しています。 DETAILS As per-design, Gatekeeper considers both external drives and
Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコア。
Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコアを調べてみました。詳細は以下から。 Intelやグラーツ工科大学の研究チームは現地時間2019年05月15日、ユーザー情報が悪意のある攻撃者により取得される可能性があるIntel CPU の投機的実行の脆弱性「Microarchitectural Data Sampling (MDS)/ZombieLoad」を公開し、Appleはこの脆弱性に対する緩和策をmacOS 10.14.5 MojaveおよびHigh Sierra/Sierra向けのセキュリティアップデート2019-003で講じましたが、 macOS Mojave 10.14.5 includes security updates for Safari, and the option to ena
「ZombieLoad」に似た攻撃への対策がサポートされないMacのリストが発表 - iPhone Mania
「ZombieLoad」はIntel製プロセッサが持つ4つのバグを狙ったサイドチャネル攻撃の名称です。「ZombieLoad」は2011年以降のIntel製プロセッサのみが影響を受けますが、それ以前のMacモデルも似たようなセキュリティ攻撃を受ける可能性が指摘されています。しかしながら、攻撃への対策をサポートすることができないMacモデルがあるとされており、Appleはそのリストを公式Webサイトで発表しました。 2011年以前のMacモデルの一部はマイクロコードのアップデートが不可 「ZombieLoad」のセキュリティ攻撃を受けた場合、ブラウザ履歴やユーザーIDとパスワードなど、プロセッサがアクセスした情報が盗み取られる可能性があるといわれています。 今後、似たようなセキュリティ攻撃が2011年以前のMacモデルに対しても行われる可能性が浮上していますが、Intelからのマイクロコード
VMware、Intel CPUのMDS脆弱性の緩和策を講じた「VMware Fusion v11.1.0」などをリリース。Hyper-Threadingを制御するツールも提供。
VMwareがIntel CPUのMDS脆弱性の緩和策を講じた「VMware Fusion v11.1.0」などをリリースしています。詳細は以下から。 仮想化ソリューション「VMware」シリーズを開発&販売している米VMware, Incは現地時間2019年05月14日、Mac用仮想化クライアント「VMware Fusion 11」の最新バージョンとなる「Fusion v11.1.0」および「Workstation v15.1.0」をリリースしたと発表しています。 Introduction Intel has disclosed details on speculative-execution vulnerabilities known collectively as “Microarchitectural Data Sampling (MDS)” that can occur on I
MacでHyper-Threadingテクノロジーを無効化し、情報漏洩の可能性があるIntel CPUの脆弱性「ZombieLoad/MDS」の完全な緩和策を行う方法。
MacでHyper-Threadingテクノロジーを無効化し、情報漏洩の可能性があるIntel CPUの脆弱性「ZombieLoad/MDS」の完全な緩和策を行う方法をまとめました。詳細は以下から。 オーストラリア・グラーツ工科大学のDaniel Gruss(@lavados)さんらが発見したユーザーのパスワードや秘密鍵、メッセージなど全てが悪意のある攻撃者により取得される可能性があるIntel CPU の投機的実行の脆弱性「ZombieLoad」または「Microarchitectural Data Sampling (MDS) 」に対し、IntelやApple、Microsoft、Google、Amazonなどのベンダーは各PCやMac、サーバーにパッチを公開/適用して対策を行っていますが、 In our latest #security update, we disclosed a
2011年以降のIntel CPUで情報漏洩の可能性がある脆弱性「ZombieLoad」が公開されAppleやMS、Googleが対応状況を説明。MacはmacOS 10.14.5 Mojaveで緩和策を追加。
2011年以降のIntel CPUで情報漏洩の可能性がある脆弱性「ZombieLoad」が発見されAppleやMS、Googleが対応状況を説明しています。詳細は以下から。 2018年02月、CPUに対するサイドチャネル攻撃によりユーザーパスワードなどが窃取される可能性がある通称「Meltdown (CVE-2017-5754)」および「Spectre (CVE-2017-5753, CVE-2017-5715)」脆弱性が発見され、IntelはもちろんAppleやMicrosoft、Google、MozillaなどのMac/PC、ブラウザベンダーは各製品やソフトウェアにパッチを配布しましたが、 Apple では、iOS 11.2、macOS 10.13.2、tvOS 11.2 においてすでに Meltdown の影響緩和策をリリースしています。macOS Sierra および OS X E
TechCrunch | Startup and Technology News
William A. Anders, the astronaut behind perhaps the single most iconic photo of our planet, has died at the age of 90. On Friday morning, Anders was piloting a small…
最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見される。
最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見されているそうです。詳細は以下から。 ドイツの18歳のセキュリティ研究者Linus Henzeさんは2019年02月、最新のmacOS Mojave 10.14.3でシステム管理者権限を必要とせずにローカルに保存されたKeychainのパスワードを全て盗むことができるゼロデイ脆弱「KeySteal」を発見し、そのPoCを公開、Appleに「macOSにもiOSと同等の“Bug Bounty Program”を提供してほしい」と要求したものの、 Appleからの返事がなくな、その後Linusさんは脆弱性の詳細とパッチをAppleに無償で送ったことを発表しましたが、その脆弱性の基となった脆弱性の発見者で、KeyStealの検証を行ったPat
AppleのSafari、Pwn2Ownハッカーコンテストで重大なゼロデイ脆弱性が2つ発見される
Apple Insiderによると今週バンクーバーで開催されたハッカー達の会議「Pwn2Ownカンファレンス」内のハッキングコンテストで、AppleのSafariの重大なセキュリティ上の欠陥、ゼロデイ脆弱性が2つも発見されました。しかもそのうちの1つは、標的のMacを完全に掌握できてしまう可能性があります。 コンテストにおいてハッカーチーム「phoenhex&qwerty」によって実証された最大の脆弱性は、JITバグと2回のヒープアウトオブバウンド読み取りを引き起こしたWebサイトと、その後に移動するためのチェックタイム使用時間バグで、カーネルへのrootアクセスを可能にするものです。Appleはそこで使用されたバグの1つを既に知っているとみられていますが、チームはその努力の結果として賞金45,000ドルを獲得しました。 そして同じコンテストに参加した別のハッカーチーム、「Fluoroac
これまでに発見されたmacOSの脆弱性を利用し、macOSでsudoまたはroot権限を取得しようとするスクリプト「rootOS」が公開。
これまでに発見されたmacOSの脆弱性を利用し、macOSでsudoまたはroot権限を取得しようとするスクリプト「rootOS」が公開されています。詳細は以下から。 近年のmacOSにはユーザ名に「root」と入力するだけでパスワード無しに管理者権限でログインできる通称「I am root (CVE-2017-13872)」やDYLD脆弱性を利用しroot権限を取得する「RootPipe/1Line of Code (CVE-2015-3760)」など比較的簡単にroot権限を取得できる脆弱性が発見されていますが、それらをまとめ実行できるスクリプト「rootOS」が公開されています。 rootOS Tries to use various CVEs to gain sudo or root access. All exploits have an end goal of adding A
AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。 AppleのmacOSカーネル「XNU」に脆弱性が見つかったとして、GoogleのProject Zeroチームが情報を公開した。Appleには2018年11月30日に連絡したが、Google側が指定した90日の期限を過ぎてもAppleがパッチを提供しなかったとして、2019年2月28日付で一方的に公開に踏み切った。 Google Project Zeroのページに掲載された情報によると、XNUに搭載されているコピーオンライト(COW)の機能に関連して、ユーザーが保有するファイルシステムイメージのマウント経由でCOWの挙動がバイパスされる脆弱性が存在する。 重要度は「高」に分類しており、この脆弱性について検証するためのコンセプト実証コードも公開
macOS Mojaveでシステム管理者権限なしにキーチェーンに保存されたパスワードを盗むことが可能なゼロデイ脆弱性「KeySteal」の詳細がAppleに報告される。
システム管理者権限なしにキーチェーンからローカルに保存されたパスワードを盗むことが可能なmacOSのゼロデイ脆弱性「KeySteal」の詳細がAppleに報告されたそうです。詳細は以下から。 現地時間2019年02月上旬、18歳のドイツの学生Linus HenzeさんはmacOSのパスワードマネージャー”Keychain”からシステム管理者の権限なしに、Macに保存されたユーザーのキーチェーン情報を盗むことができる「KeySteal」という脆弱性のPoCを公開し、「AppleがmacOSにもiOSと同等の“Bug Bounty Program”を提供するまで詳細は公開しない」と発表しました。 その後、この脆弱性がObjective-Seeのセキュリティ研究者Patrick WardleさんがmacOS MojaveのBeta段階で発見した「keychainStealer」をベースとしたもの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
