Appleは2021年9月20日にmacOS Big Sur 11.6をリリースしたが、このリリースで修正された脆弱性の一つに「CVE-2021-30853」がある。これはアプリケーションがmacOSのセキュリティ機能であるGatekeeperによるチェックをバイパスして実行される可能性があるという脆弱性で、悪用されると攻撃者によって任意のコードを実行される危険性がある。Appleによれば、Gatekeeperによるチェックを強化することで対処したという。

  • macOS Big Sur 11.6で修正されたCVE-2021-30853

    macOS Big Sur 11.6で修正されたCVE-2021-30853

この脆弱性について、セキュリティ研究者のPatrick Wardle氏が2021年12月22日、以下の自身のブログでその危険性を詳しく解説している。

同氏によれば、この脆弱性はGateleeperだけでなくmacOSのファイル検疫(File Quarantine)や公証(Notarization)チェックもバイパスすることができるという。これによって、ユーザーは一見すると無害なアプリケーションをダブルクリックするだけで、macOSのシステムを完全に乗っ取られる可能性もあるとWardle氏は警告している。

この問題は、署名および公証されていないスクリプトベースのアプリケーションが、実行に使用するインタプリタを明示的に指定できないことに起因しているという。通常、シェルスクリプトベースのアプリケーションはシバン(shebanag)を記述することで起動に使用されるシェルを指定する。しかしCVE-2021-30853のケースでは、macOSがシバンを介したシェルの起動に失敗した場合、OSによってチェックなしにスクリプトが実行されるという。

  • CVE-2021-30853のPoC(出典:Objective-See's Blog)

    CVE-2021-30853のPoC 出典:Objective-See's Blog

Wardle氏が示したPoC(概念実証)では、無害なPDFファイルに偽装されたスクリプトファイルをダブルクリックすることで、セキュリティチェックを回避して認証されていないプログラムが実行される様子が紹介されている。

Gatekeeperのセキュリティチェックをバイパスできる脆弱性が報告されるのはこれが初めてではない。Appleは2021年4月にCVE-2021-30657として追跡されるゼロデイ脆弱性を修正しているが、これもGatekeeperに関するものだった。Wardle氏は、CVE-2021-30657やCVE-2021-30853でセキュリティチェックをバイパスできる具体的な仕組みについて解説している。

CVE-2021-30853は、最初にmacOS 12 beta 6で修正され、その修正が前述のとおりmacOS 11.6にも適用された。