あるセキュリティ研究者が先週、新年の挨拶と共に macOS のゼロデイ脆弱性に関する警告を発表しました。

2018 年最初のデイリーセキュリティバイトのビデオでは、macOS の最新バージョンに影響する、ローカル権限昇格の未修正の脆弱性についてお話ししています。Siguza と名乗るこの研究者は、Apple に事前に通知することなく、12 月 31 日にこの新しい脆弱性についてツイートしました。この脆弱性には、IOHIDFamily と呼ばれる HID（ヒューマンインタフェースデバイス）のカーネル拡張機能が関係しており、簡単にいうと、ローカルの攻撃者がコードを実行できる場合に、この脆弱性を悪用して Mac コンピュータの完全なルート制御を得ることができるというものです。以下のビデオで詳細をご覧いただき、Apple からの今後のパッチの公開にご注目ください。

ところで、このビデオを撮影した日に、Intel、AMD、および ARM のプロセッサに関する重大な脆弱性のニュースが飛び込んできました。このビデオでも簡単に触れていますが、詳しい解説のビデオをすでに撮影済みで、編集が終わり次第、すぐに公開する予定です。「Meltdown」と「Spectre」と呼ばれるこれらの脆弱性の詳細とウォッチガード製品への影響については、Secplicity のこの記事とナレッジベースの記事を参照してください。

エピソードビデオの長さ： 5:22

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=r_nsXt1vxyU

• 研究者が IOHIDeous ゼロデイ脆弱性を投稿 – GitHub
• 15 年前の MacOS ゼロデイが発見される – The Inquirer

－ Corey Nachreiner, CISSP （@SecAdept）