既に各方面で報道されていますが、日本時間26日にAppleがリリースしたmacOS High Sierraについて、キーチェーン経由で各種パスワードが盗まれる危険のある脆弱性が元NSAアナリストのPatrick Wardle氏によって報告されています。
https://twitter.com/patrickwardle/status/912254053849079808
同氏は悪意のあるコードを埋め込んだ発行元不明のアプリケーションを実行することで、keychainに保存されているパスワード情報などを平文で表示させて入手できるという脅威を動画で示しています。
Steal y0 (macOS) Keychain from patrick wardle on Vimeo.
また、米メディアMacRumorsによると、今回の脆弱性は以前のバージョンにも含まれている可能性があるとしています。
unsigned apps on macOS High Sierra (and potentially earlier versions of macOS) can allegedly access the Keychain info and display plaintext usernames and passwords without a user’s master password.
よって現状では必ずしもHigh Sierraへのアップグレードを行なわないことが最善策とは言えません。
発行元不明のアプリインストールの自粛やインストール設定の強化、またキーチェーン機能をそもそもOFFにしておくことが今回の脆弱性対策で効果のある対処法ということになります。
なお、今回の報告はリリース前に行われているもので、既に報告者のPatrick氏はAppleに情報提供を行なっています。