xiaolong 
macOS Venturaに攻撃者がアプリ管理のを回避できるサンドボックスを利用したゼロデイ脆弱性がとあるセキュリティ研究者によって発見され、昨年Appleに報告されていましたが、10ヶ月もAppleがその脆弱性があることを知りながらも放置したことによって、その研究者が痺れを切らして脆弱性を公開したことから話題になっています。
そのセキュリティ研究者の名前はジェフ・ジョンソン(Jeff Johnson)氏。長年にわたって多くのオンライン・サービスやソフトウェアの脆弱性(Exploit)の研究をしてきた人です。ジョンソン氏は自らのブログを更新し、昨年10月、macOS Venturaにフルディスクアクセスを必要としないアプリ管理をバイパスする方法を発見したとしています。そして発見当時、ジョンソン氏はAppleから何らかの応答があることを期待して、この問題をApple Product Securityに送信していました。
Apple Product Securityはその後10月21日にその脆弱性があることを認めましたが、セキュリティアップデートやセキュリティパッチの配布を行ってこの脆弱性に対策することをしませんでした。そのため2023年8月19日、痺れを切らしたジョンソン氏はこの脆弱性を後悔することになります。ジョンソン氏がApple Product Securityに脆弱性を報告してから10ヶ月が経ったことになります。
通常、こういったバグやセキュリティ脆弱性は、修正プログラム(セキュリティパッチ)が開発されるまでの時間的な猶予をみて、90日間は発見者も公開しないのが通例ですが、その期間を大幅に超えてもAppleが何もしなかったのでジョンソン氏は十分に待った上で脆弱性を公開したことになります。つまりこれはとても非条理的なことなのだ、とジョンソン氏はブログで主張しています。
そして更に、ジョンソン氏はAppleからセキュリティ報告による報奨金をもらえないことも書いています。個人的には、これが一番の問題となっているのではないかと思います。セキュリティ研究家も慈善でやっているわけではなく、もちろん自分のビジネスのためにやっています。Appleの方針としては、セキュリティパッチがリリースされるまでは報奨金や支払いの計算は拒否されるということで、リリースされなければ永遠にもらえないということになります。しかも奇妙なことに、ジョンソン氏はApple公式のmacOS Ventura 13.4のセキュリティノートの中の一人としてクレジットされ、ジョンソン氏のレポートが別のエクスプロイトの修正に役立つとされていたのですが、どうやら報奨金は支払われなかったというのです。このゼロデイ脆弱性はその後アップデートされた現行最新のmacOS Ventura 13.5.1でも修正されていないということです。
Sandbox
Available for: macOS Ventura
Impact: An app may be able to retain access to system configuration files even after its permission is revoked
Description: An authorization issue was addressed with improved state management.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa of FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com), and Csaba Fitzl (@theevilbit) of Offensive Security
ただ個人的にはKoh M. Nakagawa of FFRI Security, Inc.と日本人が入っているのが気になりますし、またCVE-2023-32357の提供者の人数がジェフ・ジョンソン氏以外にも複数いるのも気にかかります。ジョンソン氏は、恐らくこの問題を報告した最初の人ではないので報奨金がもらえなかったのではないかと推測していますが、詳細についてはAppleからは一切知らされないので真相はわからないということです。
セキュリティ報告に対する報酬プログラム、Apple Security Bountyでは、報奨金の金額もカテゴリ分けされた上で規定されています。この規定の金額が支払われていなければ、プログラムに参加した意味はないということになります。実際、ジョンソン氏もこのセキュリティ報奨プログラムに参加したことを後悔したと書いています。
ちなみにこの脆弱性とは、あるアプリがmacOSのアプリ管理システムを回避するために、いわゆる仮想環境「サンドボックス」化されたアプリを通じてシステムファイルにアクセスできるようにしてしまうというもので、これはサンドボックス化されていないアプリがサンドボックス化されたアプリ内のファイルを開くことができ、それによってサンドボックスの範囲を拡張することもできてしまうということです。アプリケーション(Application)フォルダに入っているアプリ、例えばテキストエディタなどはサンドボックス化されているアプリとなります。今回ジョンソン氏は実際にアプリ管理を回避(バイパス)できてしまうコードを公開しています。またこのサンドボックスの脆弱性に関する詳細についても別の記事で書いています。
Appleもこの脆弱性がジョンソン氏によって公開された以上、これ以上放っておくわけにはいかなくなるでしょうね。ジョンソン氏もプロのセキュリティ研究家ではないため、これでどこかをクビになったりするようなこともないので怖いものなしということで公開したのでしょう。もちろん、今回AppleInsider等テックメディアもこの件を採り上げているので、これで名前が売れるのも間違いありませんが。。
記事は以上です。