Appleは偽造のイベントが攻撃経路として悪用されることを認識しており、この設計の問題とそれに続く攻撃の手段を緩和するために、新たなセキュリティ機能を導入し、macOSのセキュリティを強化したという。
この機能は、カーネル拡張を読み込むために、ユーザーに「許可」ボタンの手動でのクリックを求めるというものだ。
しかしWardle氏によると、このUIの設計変更は適切でない。そして、この新しいゼロデイ脆弱性は、macOS High Sierraの不完全なパッチをベースにしたソフトウェアイベントの不適切な解釈に端を発しているという。
この問題は、最新バージョンのmacOSでの偽装されたイベントの承認あるいは拒否に関する部分にある。「ダウン」イベントが2回実行される際に、High Sierraではこの攻撃が、1度の「ダウン」と1度の「アップ」クリックによって手動で承認されたと解釈され、攻撃者にシステムに侵入する直接のルートを与えることになる。(編集部注:appleinsiderが解説しているように、macOSではマウスのクリックとリリースの操作をそれぞれ「ダウン」と「アップ」イベントとして解釈する)
Wardle氏は、同氏がコードをコピー、ペーストして、意図せず偽装のマウス「ダウン」を2度クリックするようスクリプトを設定した際に、この問題が偶然見つかったと述べた。
Wardle氏によると、High Sierraの次のバージョンとなる「Mojave」では、偽装イベントは完全にブロックされるという。しかし、正当なアプリやサービスの機能を制限する可能性があると懸念するセキュリティコミュティもあるようだ。
米ZDNetはAppleにコメントを求めたが、本稿執筆時点で回答は得られていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。