私のテクノロジー
デフコンは先週ラスベガスで開催されました。このイベントでは、DigitaSecurityのチーフリサーチオフィサーであるPatrickWardleが、システムの侵害を引き起こす可能性のあるMacOSで遭遇した脆弱性について具体的かつ詳細に話しました。彼は、数行のコードをいじるだけで、システムのUIとの総合的な相互作用が、大規模なセキュリティ問題と悪用への道を開くことができることを学びました。
Wardleが参照する合成インタラクションは、リモートの攻撃者がユーザーに意図せずに画面に表示されているものをクリックさせるようなものです。これらのクリックにより、過度のアクセス許可が付与される可能性があり、そのような悪用によってカーネル拡張がロードされると、オペレーティングシステム全体が最高のアクセス許可で侵害される可能性があります。
これらのシングルクリックは、承認チェックポイントをバイパスして、アプリケーションの実行、キーチェーンの承認、サードパーティのカーネル拡張の読み込み、および発信ネットワーク接続の承認を可能にする力を保持します。たまたま、攻撃者がシステムにアクセスし、目的のコードを実行し、目的の情報やドキュメントをスワイプするだけで十分です。
ほとんどの場合、コンピュータ上でほぼすべてのことを実行するように要求するプロセスに許可を与えるように求められたとき、要求しているプロセスを信頼することについてよく考えます。シングルクリック操作の戦術により、サービスが信頼できるか安全であるかをまったく知らなくても、サービスに許可を与える可能性があります。
これを引き起こす脆弱性、 CVE-2017-7150 は、バージョン10.13より前のバージョンのMacOSの欠陥です。この脆弱性により、恵まれない攻撃コードが、繰り越す許可を求めるポップアップと同じ安全なダイアログを含むUIコンポーネントと対話できるようになります。 UIに対してこのような合成クリックを生成する機能により、攻撃者は知らないユーザーから必要なすべての権限を取得し、システム上で好きなことを実行できます。
このゼロデイエクスプロイトを軽減するためのアップデートがAppleによってリリースされました。この更新は「ユーザー支援カーネル拡張ロード」(Kext)と呼ばれ、ユーザーが手動でクリックを実行する必要があるため、シングルクリック合成生成が発生しないようにします。
![[修正] Ubuntu 20.04LTSキーボードとマウスが機能しない](https://jf-balio.pt/img/how-tos/83/ubuntu-20-04-lts-keyboard.png)
![[修正]プラグインのマージ「アクセス違反」エラー](https://jf-balio.pt/img/how-tos/88/merge-plugins-access-violation-error.png)
