米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月25日(米国時間)、「Apple Releases Security Updates|CISA」において、Appleが多数の脆弱性を修正したmacOSの最新版をリリースしたと伝えた。リリースされたのは「macOS Big Sur 11.4」「セキュリティアップデート 2021-003 Catalina」「セキュリティアップデート 2021-004 Mojave」で、アップデートを行わないと悪意のある攻撃者によって脆弱性を悪用され、システムの制御権を奪われるなどの重大な被害を受けるおそれがある。
今回のアップデートでは、Big Surで73件、Mojaveで42件、Catalinaで47件のCVEベースの脆弱性が修正されている。悪用された場合の影響は脆弱性によって異なるが、リモートからの任意のコード実行やシステムのクラッシュ、セキュリティ機能の回避、root権限の奪取、機密情報へのアクセスなど多岐にわたっており、注意が必要。各OSで修正された脆弱性の情報はAppleによる次のページにまとめられている。
- About the security content of macOS Big Sur 11.4 - Apple サポート
- About the security content of Security Update 2021-004 Mojave - Apple サポート
- About the security content of Security Update 2021-003 Catalina - Apple サポート
threadpostの次の記事によると、Big Surにおいて修正された脆弱性のうち、「CVE-2021-30713」を悪用したマルウェアが登場していることが確認されているという。
CVE-2021-30713は、アプリケーションによるリソースへのアクセスを制御するTCC(Transparency Consent and Control)を回避できてしまうという脆弱性で、攻撃者がユーザーの同意を必要とせずにディスクへのクアクセスやスクリーンショットの撮影などをはじめとするアクセス権を取得できる可能性があるという。セキュリティ研究者による報告では、「XCSSET」と呼ばれるマルウェアが、主にデスクトップのスクリーンショットを撮る目的でこの脆弱性を悪用しているとのことだ。