先日、UNIX系のオペレーティングシステムにおいて、一般ユーザーにroot権限でコマンド実行を許可したり、ほかのユーザーに代わったりるためのツールとして使われている「sudo」コマンドに脆弱性が存在することが伝えられた。該当するバージョンのsudoコマンドにはヒープベースの脆弱性が存在するとされており、この脆弱性を突かれると、ローカルユーザーがrootに特権昇格できるとされている。

該当するsudoコマンドはmacOSにも同梱されている。Appleは2021年2月1日(米国時間)、macOS Big Sur、macOS Catalina、macOS Mojaveのそれぞれのアップデートの提供を開始した。このアップデートは多くのセキュリティアップデートを含んでおり、迅速に適用することが望まれている。

  • 2月アップデートを適用したmacOS Big Sur 11.2

    2月アップデートを適用したmacOS Big Sur 11.2

ただし、このアップデートにはsudoコマンドの修正は含まれなかったようだ。macOS Big Sur 11.2のsudoコマンドは、次のように脆弱性が存在するバージョンのままになっている。

  • 脆弱性が存在するバージョンのsudo

    脆弱性が存在するバージョンのsudo

Security Affairsは2月3日(米国時間)、「Recently discovered CVE-2021-3156 SUDO bug also affects macOS Big SurSecurity Affairs」において、macOS に依然としてこの脆弱性が残っていること、この脆弱性を悪用可能であると伝えた。

今後Appleから提供されるセキュリティ情報に注意するとともに、修正アップデートの配信が始まった場合は迅速に対処することが望まれる。