Sandbox

macOS Venturaに攻撃者がアプリ管理のを回避できるサンドボックスを利用したゼロデイ脆弱性がとあるセキュリティ研究者によって発見され、昨年Appleに報告されていましたが、10ヶ月もAppleがその脆弱性があることを知りながらも放置したことによって、その研究者が痺れを切らして脆弱性を公開したことから話題になっています。

iOS 7〜9の脱獄で名を馳せ、iOS脱獄（Jailbreak、ジェイルブレイク）ハッカーグループで、現在はセキュリティ研究専門家達のグループとなっている中国のPangu Lab（盘古实验室）が、複数の顧客のiOSアプリに対してセキュリティ審査を行ったところ、共通するセキュリティホールを見つけたということです。そしてこのセキュリティホールについてPangu LabがJanusプラットフォーム上でトレーサビリティ分析と類似セキュリティホールの検索を行ったところ、調査した全体の10％近いアプリがこのセキュリティホールの影響を受けることがわかりました。現在Pangu Labが作った特別サイトにそのリストが公開されていますが、なんとそのアプリ数は約16,000個（正確には記事更新時点で15,979個）にものぼっており、その中には日本のアプリもあります。

Apple Insiderの情報によると、Appleは先週金曜日にいわゆる”アプリ間リソースアクセス（XARA）”の重大なセキュリティホールについて認め、今週既にサーバ側でセキュリティアップデートを公開し、現在スタッフがこの問題について研究し、セキュリティパッチをリリースする予定だという。