Mac OS Xにゼロデイの脆弱性 - アップデートは未提供

Malwarebytesは8月3日(米国時間)、「Hackers exploit OS X zero-day vulnerability」において、Mac OS Xに存在するゼロデイの脆弱性を悪用したアドウェアを発見したと伝えた。このアドウェアはMac OS Xの脆弱性を悪用して意図されていない他のソフトウェアのインストールを実施していると説明されている。同日時点で、Appleからこの脆弱性を修正するためのアップデートは提供されていない。

この脆弱性は、DYLD_PRINT_TO_FILE環境変数の処理に問題があり、ユーザ権限で任意のファイルに任意の文字列を書き込めてしまうことに原因があるとされている。この機能はMac OS X 10.10で導入された機能で、DYLD_PRINT_TO_FILE環境変数にファイルパスを指定すると、ログデータがこの指定したファイルに書き込まれるというもの。しかし、実行しているユーザの権限をチェックすることなくroot権限で書き込みが実施され、さらに子プロセスにもファイル・ディスクリプタがコピーされており、結果的にユーザ権限で任意の書き込みが可能になってしまっている。

この脆弱性を修正するアップデートはまだ提供されていない。したがって、Appleから脆弱性対策が公開されるまでは、本当に必要なものであり信頼できるものであるか確認したうえで、ダウンロードしてきたソフトウェアなどは実行する必要がある。