株式会社シマンテックは17日付の同社公式ブログで、OS X 10.9.5～10.10.5に影響する2つの新たな脆弱性が存在することを確認したと発表した。攻撃者にルートアクセス権を与えてしまう可能性のある脆弱性だという。

ただし、この脆弱性を悪用するには、被害者が自らアプリケーションを実行する必要があると説明。シマンテックではMacユーザーに対して、新しいアプリケーションのダウンロードおよびインストールは信頼できるソースからだけ行うよう注意を呼び掛けている。

この脆弱性を発見したのは、イタリアの研究者Luca Todesco氏。脆弱性を実証する悪用コードが8月16日にGithubに投稿されたという。

悪用コードは、2つの脆弱性を利用してOS Xのカーネルでメモリ破損を引き起こし、悪用コードの実行を妨げるセキュリティ機能をすり抜けて攻撃者にルートアクセス権を付与するというもの。シマンテックの解析でも、この悪用コードが想定通りに機能することが確認された。

シマンテックによれば、この脆弱性が実際に悪用された例はまだ報告されていない。しかし、「情報が広まれば攻撃の可能性も高くなる」とみている。