Appleが90日間の期限内に修正できなかったことを受け、GoogleはmacOSのゼロデイ脆弱性を公表しました。この脆弱性は、デバイスの正当な所有者に知られることなく、ユーザーがマウントしたディスクの内容を改ざんするものです。これにより、Mac上で既に実行されているマルウェアや不正なユーザーが権限を昇格することが可能になります。

Googleが主要なライバル企業に対する概念実証エクスプロイトを公開したことは注目に値します。しかし、この脆弱性自体は実行が容易ではありません。このエクスプロイトが機能するには、ユーザーのコンピュータが既に侵害されている必要があります。このエクスプロイトは、著名な研究者であるJann Horn氏とIan Beer氏によって発見されました（The Register経由）。

コピーオンライトメカニズムの悪用

研究者たちは、macOSのコピーオンライト機構を悪用することで、オペレーティングシステムから警告が出されずに攻撃者がファイルを変更できることを発見しました。研究者らは次のように説明しています。

転送先プロセスが転送されたメモリ領域からの読み取りを開始した後、メモリ不足により、転送されたメモリを保持しているページがページキャッシュから追い出される可能性があります。その後、90日間のページが再び必要になった場合、バックエンドのファイルシステムから再読み込みされる可能性があります。つまり、攻撃者が仮想管理サブシステムに通知することなくディスク上のファイルを変更できる場合、これはセキュリティ上のバグとなります。

攻撃者は、高レベルの権限を持つユーザーがユーザーマウントされたディスク上のファイルを開くのを待ちます。これは、オブジェクトを仮想メモリにマッピングすることで実現します。そして、マウントされたディスクの基盤となるファイルシステムと、マッピングされたファイル自体の両方を変更できます。その後、攻撃者は、特権プロセスのためにマッピングされたファイルを保持するメモリページを強制的に追い出すことができます。これは、メモリにマッピングされた別のファイルに書き込むことで実現されます。

マッピングされたファイルが次に読み込まれる際、攻撃者によって変更されたファイルシステムのデータにアクセスします。正規のユーザーは、macOSからその下のファイルが変更されたことに関する警告を受け取りません。攻撃者はこの脆弱性を利用して、権限を昇格させたり、アプリをクラッシュさせたりする可能性があります。