Appleが、ハッカーにパスワードを盗まれる危険性があった「macOS High Sierra」の脆弱性2件を修正した。

Appleの広報担当者は米ZDNetに対し、米国時間10月5日にセキュリティ関連の修正をリリースしたと述べた。

今回修正された脆弱性のうちの1件を発見したのはSynackのPatrick Wardle氏で、同氏は「High Sierra」がリリースされるわずか数時間前に、パスワードを盗まれる危険性があることを明らかにしていた。

この脆弱性を利用することにより、攻撃者はインターネットからダウンロードされた悪質な無署名のアプリを使って、キーチェーンに保存されたパスワードをプレーンテキストで取得することができた。

Appleは、キーチェーンのロックを解除する前にユーザーにパスワードの入力を求めることによって、この脆弱性に対応した。

5日のセキュリティアップデートでは、暗号化された「APFS」ボリュームに影響を与えるセキュリティ脆弱性も修正されている。こちらでは、ボリュームのパスワードがパスワードのヒントとして格納されているが、プレーンテキストで取得できるようになっていた。

Appleは、こちらの脆弱性を発見したMatheus Mariano氏に謝意を示した。