macOS の Timemachine においてコマンドインジェクションにより管理者権限の奪取が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.09.26(土)

macOS の Timemachine においてコマンドインジェクションにより管理者権限の奪取が可能となる脆弱性(Scan Tech Report)

Apple macOS のバックアップ作成ソフトウェアである Timemachine に、コマンドインジェクションの脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
macOS の バックアップ機能 Time Machine
macOS の バックアップ機能 Time Machine 全 1 枚 拡大写真
◆概要

 Apple macOS にて、ディスクのバックアップの作成に用いる標準ソフトウェアである Timemachine に、権限昇格につながる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、対象ホストへの侵入に成功した攻撃者に管理者権限を奪われてしまいます。セキュリティアップデートにより対策してください。

◆分析者コメント

 対象ホストへの侵入が前提となる脆弱性ですが、幅広いバージョンの macOS が当該脆弱性の影響を受けます。また、攻撃手法が容易であることから、攻撃者に悪用される可能性が高い脆弱性であると考えられます。セキュリティアップデートにより早急に対策することを推奨します。

◆影響を受けるソフトウェア

 以下のバージョンの Apple macOS が当該脆弱性の影響を受けます。

  - macOS Sierra 10.12.6 およびそれより古いバージョン
  - macOS High Sierra 10.13.6 およびそれより古いバージョン
  - macOS Mojave 10.14.6 およびそれより古いバージョン


◆深刻度(CVSS)

[CVSS v2]
4.4
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:M/Au:N/C:P/I:P/A:P)

※ 本記事執筆時点 (2019 年 7 月 16 日) で NVD に CVE 情報が登録されていないため、Rapid7 の情報を元に算出したものです。

   Rapid7
   https://www.rapid7.com/db/vulnerabilities/apple-osx-timemachine-cve-2019-8513

◆解説

 Apple macOS のバックアップ作成ソフトウェアである Timemachine に、コマンドインジェクションの脆弱性が報告されています。

《株式会社ラック デジタルペンテストサービス部》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

    日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

  2. 入出金ツールへの不正アクセスで38,026名の個人情報が流出、本人確認書類等の画像データも(サクソバンク証券)

    入出金ツールへの不正アクセスで38,026名の個人情報が流出、本人確認書類等の画像データも(サクソバンク証券)

  3. 社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

    社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

  4. Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

    Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

  5. 株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

    株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

  6. 「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

    「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

  7. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  8. 「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)

    「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)

  9. mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

    mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

  10. 顧客口座への不正アクセスで資産9,864万円が流出(SBI証券)

    顧客口座への不正アクセスで資産9,864万円が流出(SBI証券)

ランキングをもっと見る