人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

macOSの権限ポップアップの脆弱性:TCC、誰?

2025-05-12
macOSの権限ポップアップの脆弱性:TCC、誰?

最近修正されたmacOSの脆弱性CVE-2025-31250は、アプリケーションがシステム権限のポップアップを偽装し、ユーザーをだまして不正なアクセスを許可させることを可能にしていました。攻撃者は、Apple EventsとTransparency、Consent、and Control(TCC)システムの欠陥を利用し、ポップアップに表示されるアプリケーションと、実際に権限を取得するアプリケーションを分離しました。この脆弱性は、TCCデーモンがApple Eventsの権限要求を処理する際の論理エラーを利用しており、偽のアプリケーションを作成したり、Dockのショートカットを上書きする必要がありませんでした。この脆弱性は修正されましたが、システム権限管理の複雑さと潜在的なリスクを浮き彫りにしています。

続きを読む
(wts.dev)
テクノロジー macOSの脆弱性 権限管理

macOSの重大な脆弱性:NetAuthAgent経由でパスワードとiCloudデータが漏洩

2025-03-20
macOSの重大な脆弱性:NetAuthAgent経由でパスワードとiCloudデータが漏洩

セキュリティ調査の記事では、macOSの重大な脆弱性(CVE-2024-54471)が公開され、攻撃者がNetAuthAgentを通じてファイルサーバーの資格情報、さらにはiCloudアカウント情報やAPIトークンを盗むことが可能になることが明らかになりました。この脆弱性は、NetAuthAgentのMIGサーバーがメッセージの送信者を検証しないことに起因しており、攻撃者は悪意のあるメッセージを送信してキーチェーンの資格情報を取得し、その後iCloudデータ(連絡先、カレンダー、位置情報など)にアクセスできます。この記事では、Machカーネル、MIGメカニズム、および脆弱性の悪用プロセスを詳細に説明し、ユーザーにmacOSの最新バージョンへのアップデートと高度なデータ保護の有効化を強く推奨しています。

続きを読む
(wts.dev)
テクノロジー macOS脆弱性 iCloudセキュリティ