マイクロソフトが警告「Mac版Safariに脆弱性」 今すぐアップデートを
未対応の間は他社製ブラウザを利用すれば回避できる
マイクロソフトの説明によれば、問題は「アップルは一部のエンタイトルメント(権利)を自社のアプリケーション用に予約している」という点である。macOSのデフォルトブラウザであるSafariは、非常に強力なTCCエンタイトルメントを有しており、それらにはカメラ、マイク、スクリーン、そして多数の個人データへのアクセスが含まれる。 マイクロソフトによると、Safariがこれらの機密デバイス機能にアクセスする際には「通常のTCCのアクセスチェックを完全にバイパスする」としており、「実際のシナリオでは、攻撃者が隠密な行動を取る可能性がある。例えば、『カメラの全ストリームを保存する、マイクを録音して別のサーバーにストリーミングまたはアップロードする、デバイスの位置情報にアクセスする、目立たないように非常に小さなウィンドウでSafariを起動する』などの行動が考えられる」と警告している。 アップルのデバイスで他のブラウザを利用しているユーザーには、こうしたプライベート特権が付与されていないため、リスクが低いとされている。「Google Chrome、Mozilla Firefox、Microsoft Edgeなどのサードパーティ製ブラウザは、アップルのアプリケーションと同じプライベートエンタイトルメントがないため、TCCのチェックをバイパスできない」他のブラウザが同じ機能にアクセスしようとすると、許可を求めるポップアップが表示される。 アップルは現在、これらの設定ファイルの改変を防ぐためにSafariを強化している。さらにマイクロソフトは「ローカル設定ファイルの強化によるメリットを調査するため、他の主要なブラウザベンダーと協力している」と述べている。「ChromiumとFirefoxはまだ新しいAPIを採用していないが、Chromiumは異なる方法でこの攻撃を解決するos\_cryptの使用に向かっている」としている。
Zak Doffman