macOSとiOSのカーネルレベルに致命的なゼロデイ脆弱性

そして最近、このチームがAppleのデスクトップ・ノートデバイス用OSの”macOS(OS X)”及びモバイルデバイス用OS”iOS”のカーネルレベルに致命的なセキュリティホールを発見していたことが判明した。しかもそのセキュリティホールでは、OSを最新にしていないと攻撃者のアカウント権限がアップグレードされ、ルート権限までとられてしまうというほどのものだったという。

Appleは公開まで60日の猶予を要求、結局Googleも9月21日まで待つことに

今年6月、Project Zeroチームのメンバー、Ian Beer氏がAppleにこのセキュリティホールについて報告していた。Appleからはそれに対し、Project Zeroがそのセキュリティホールを公開する前に60日の猶予が欲しい、その間に解決するから、という回答があったという。Googleは当初その要求を拒絶していたが、最終的にはそのセキュリティホールを公開する日付のリミットを9月21日に設定することに同意した。

Appleは期限までに問題を解決できず、5ヶ月でようやく修正

しかしこの9月21日のリミットまでに、Appleがユーザに向けて提供したパッチではこのセキュリティホールを塞ぐには至らなかった。そしてAppleは最終的に5ヶ月もかかってこの問題を解決したのだった。というのも、先週リリースされたmacOS Sierra 10.12.1及び先々週リリースされたiOS 10.1において、システムのカーネルレベルで修復がようやく行われたのだ。

9月20日、期限ぎりぎりにAppleはmacOS Sierra 10.12の”緊急パッチ”をアップデートした。Appleによればこの緊急アップデートで問題の影響を和らげることができると考えたが、実際は完全にこの問題を解決することはできていなかった。10月3日、AppleはmacOS Sierra 10.12 1 beta 3で更に有効な修正案を盛り込み、そしてこの修正案が一般向けにリリースされたのは先週、ということになったようだ。