macOS「High Sierra」に、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性

High Sierra 10.13

　Appleは5日(現地時間)、現行のmacOS「High Sierra 10.13」向けの追加アップデートを提供した。セキュリティ脆弱性に対する緊急的な措置となる。

　海外メディアのBleepingComputerによれば、この脆弱性はブラジルのセキュリティ研究者Matheus Mariano氏が5日付けで発見したもので、YouTubeにてその方法が公開されている。

　問題は2つあり、1つは新ファイルシステムのAPFS(Apple File System)を利用している環境で発生するもので、APFSのボリュームをマウントするさいに聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、ヒントの代わりにパスワードそのものが表示されてしまう。なお、パスワードのヒントを登録していなかった場合は、パスワードが表示されない。

　もう1つは、悪意のあるアプリが、キーチェインパスワードを抜き取れるというもの。キーチェインにアクセスするさいにパスワードを要求することで対応している。