今週初めに Google の Project Zero セキュリティ チームによって明らかにされた OS X のセキュリティ上の欠陥のうち 2 つは、次期 OS X 10.10.2 アップデートで修正される予定であり、もう 1 つはすでにパッチが適用されている。
マックルーマーズ:
Project Zeroは、様々なオペレーティングシステムやソフトウェアのセキュリティ脆弱性を発見し、発見した脆弱性を公表する前に、所有者に90日以内に修正プログラムを適用するよう通知する活動を行っています。AppleのOS Xのマークアップでは、メモリ破損、カーネルコード実行、サンドボックスからの脱出といった問題が発見されました。
Ars Technica は 次のように指摘している。
「一見すると、3つとも攻撃者が標的のマシンに何らかのアクセス権を持っていることを必要とするため、どれもそれほど重大ではないように見えます。[…]
「それでもなお、これらのエクスプロイトを別の攻撃と組み合わせることで、より低いレベルの権限を昇格させ、脆弱なMacを制御できるようになる可能性があります。また、公開されたコードには概念実証用のエクスプロイトコードが含まれているため、経験豊富なハッカーがこれまで未知の脆弱性を狙った悪意のある攻撃を作成するのに十分な技術的詳細が提供されています。」
90日間の期限が今週到来したため、グループは調査結果をオンラインで公開し始めました。Googleは、1つの脆弱性は修正されたものの、2つの脆弱性は未修正のままであると報告しました。しかし、 iMoreなどの報道 によると、Appleのまだテスト中のOS X 10.10.2アップデートには、これらの脆弱性への修正が含まれているようです。
