米国家安全保障局(NSA)の元アナリスト、現在はSynackで主席セキュリティ研究者を務めるパトリック・ウォードルがリリースされたばかりのmacOS High Sierraの脆弱性を指摘した。
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) 2017年9月25日
Steal y0 (macOS) Keychain from patrick wardle on Vimeo.
発見された虚弱性はキーチェーンに保存されているパスワードを盗み見ることができるというもの。通常はマスターパスワードで保護されているが、パスワードなしで情報が読み取れる状態にあることを動画で示している、
I did! pretty much as soon as I found the bug🐛 …along with a detailed description and even PoC exploit code 😥 https://t.co/Y6I4D1gyGe
— patrick wardle (@patrickwardle) 2017年9月25日
さらに、「OSがリリースされる前にAppleに連絡すればよかったのに」という声に対して、「連絡したよ! バグを発見してできるだけ早くね。詳細とコードも一緒にね。」とAppleにコンタクトを取っていたことを明かしている。
▼RELATED
[macOS High Sierraがリリース!対象となるモデルは?]
