OS X Lion最新版、暗号化パスワードがプレーンテキストで保存される脆弱性


 Sophosは6日、Mac OS Xのホームフォルダーを暗号化できる「FileVault」機能について、最新版のアップデート(OS X Lion 10.7.3)で誤ってデバッグオプションが有効にされ、暗号化パスワードを読み取られる恐れのある脆弱性が存在することが確認されたとして、ユーザーに注意を呼びかけた。

 この問題は、セキュリティ研究者のDavid Emery氏が公開したもの。OS X Lion 10.7.3のアップデートでは、FileValutのデバッグオプションが有効とされており、暗号化の範囲外にあるログファイルに暗号化パスワードがプレーンテキストで保存されてしまう。これにより、ディスクへのアクセス権を持つ誰もがパスワードを含むファイルを読み取ることができ、物理的にディスクにアクセスする方法や、マルウェアを通じての悪用が考えられるとしている。

 この脆弱性は、Snow LeopardからFileVaultを使い続けているユーザーに影響があり、OS X Lionで導入された新バージョンのFileVault 2には影響はない。

 Sophosでは、Time Machineによるバックアップとしてこのログファイルが長期に保存される可能性があるなど、一旦プレーンテキストで保存されてしまったパスワードの危険性を指摘。ユーザーに対して、Appleがこの問題を修正した後に、パスワードを変更することを推奨している。


関連情報

(三柳 英樹)

2012/5/8 12:57