Google のセキュリティ チームである Project Zero は今週、この問題が Apple と共有されてから約 3 か月後、OS X のいくつかのセキュリティ脆弱性を一般公開しました (
Ars Technica
経由)。 Apple はこの問題について公式にコメントしていないが、1 つはすでにパッチが適用されているようで、残りの 2 つは現在開発者テスト中の OS X 10.10.2 で修正されている
と
iMore が
報告している
。
Project Zero は
、さまざまなオペレーティング システムやソフトウェアのセキュリティ脆弱性の発見に取り組んでおり、調査結果を一般に公開する前に、問題にパッチを適用するよう所有者に 90 日前に通知します。 Apple の OS X のマークアップでは、メモリ破損、カーネル コードの実行、サンドボックス エスケープに関する問題がすべてチームによって発見されました。
Ars Technica は次
のように述べています。
それでも、このエクスプロイトを別の攻撃と組み合わせることで、下位レベルの権限を昇格させ、脆弱な Mac を制御できる可能性があります。また、公開された内容には概念実証のエクスプロイト コードが含まれているため、経験豊富なハッカーがこれまで知られていなかった脆弱性を標的とした悪意のある攻撃を作成するのに十分な技術的な詳細が提供されます。
今週中に90日の期限が迫ったため、同グループは
調査結果を
オンラインに
投稿し
始めた
。 Googleのメモによると、脆弱性のうちの1つはOS X Yosemiteのリリースで修正されたが、残りの2つは未解決のままだという。
しかし、
iMore
が指摘しているように、Apple の今後の OS X 10.10.2 アップデートには、Project Zero によって明らかにされた残り 2 つの脆弱性に対する修正が実際に含まれています。
[
水曜日
] 開発者にシードされた OS X 10.10.2 の最新ビルドに基づいて、Apple はすでに上記のすべての脆弱性を修正しました。つまり、10.10.2 が一般公開されるとすぐに、Yosemite を実行しているすべてのユーザーが修正を利用できるようになります。
Google の Project Zero はここ数か月間、重大なセキュリティ脆弱性を公開しており、以前は Windows の重大な問題をいくつか
発見し
、オンラインで共有していました。このプロジェクトは、さまざまなオペレーティング システムに対する切望されている修正に光を当てていますが、Windows のケースのように、Microsoft が適切に修正する前に公開された知識によってユーザーのシステムがより脆弱なままになっているなど、セキュリティの重要性が損なわれることもあります。それでも、情報公開までの 90 日間の猶予期間は、企業に問題を解決する時間を与えるとともに、タイムリーに解決するインセンティブを与えることを目的としています。
/cdn.vox-cdn.com/assets/954325/VRG_7092-5.jpg)
