Webroot の macOS セキュリティ ソフトウェア SecureAnywhere に存在する、ローカルで悪用可能なカーネル レベルの欠陥の詳細が、このバグが修正されてから数か月後の昨日明らかにされました。
Webrootのウイルス対策ソフトが暴走し、Windowsのシステムファイルを破壊し始める
続きを読む
メモリ破損バグ(CVE-2018-16962)がローカル環境で悪用可能であるという事実は、その有用性をブラックハットに限定していました。もしこれが彼らの唯一のツールだったとしたら、一般的なハッカーにとってはほとんど役に立たないでしょう。ハッカーは、既に脆弱なMacにログインしているか、ソーシャルエンジニアリングなどの策略でログイン済みのユーザーを騙してエクスプロイトを開かせる段階に達している必要があります。
そうは言っても、Mac セキュリティ ソフトウェアのバグをうまく悪用できれば、誰でも「カーネル レベル」、つまりルートよりも深いレベルでマルウェアを実行できることになります。
また、これは、セキュリティ ソフトウェアによってコンピューターの攻撃対象領域が実際に拡大されると主張する人々にとっての材料にもなります。
Trustwaveでこの脆弱性を発見した研究者によると、この脆弱性は、ユーザーが提供する入力の特定の形式を盲目的に信頼したことに起因しているという。ユーザーが提供する任意のポインタは「読み取られ、場合によっては書き込まれる可能性がある」と研究者らは述べている。
これにより、特定の条件下ではローカル権限昇格攻撃が発生する可能性がありました。また、SecureAnywhereがサポートするOSX/macOSのバージョンにおいて、ハッカーがKASLR(カーネルアドレス空間レイアウトのランダム化、オペレーティングシステム定義のメモリ保護)を回避する手段を発見した可能性もあります。
Webrootは、MacOS版SecureAnywhereのバージョン9.0.8.34以降でこの脆弱性を解決しました。Webrootは声明で次のように述べています。
この脆弱性は数か月前に修正されましたが、Trustwaveは発見したバグに関する見解を公表したばかりでした。この遅延について質問されたTrustwaveは、次のような説明をしました。
調査結果が正確かつ整然としたものであることが重要です。ベンダーがパッチを公開するタイミングが、調査結果の詳細を公開するタイミングよりも早い場合があります。そのため、脆弱性に関する技術的な詳細を公開する前に、ユーザーにパッチを適用するための十分な時間を与えることがよくあります。®
