先日、UNIX系のオペレーティングシステムにおいて、一般ユーザーにroot権限でコマンド実行を許可したり、ほかのユーザーに代わったりるためのツールとして使われている「sudo」コマンドに脆弱性が存在することが伝えられた。該当するバージョンのsudoコマンドにはヒープベースの脆弱性が存在するとされており、この脆弱性を突かれると、ローカルユーザーがrootに特権昇格できるとされている。
該当するsudoコマンドはmacOSにも同梱されている。Appleは2021年2月1日(米国時間)、macOS Big Sur、macOS Catalina、macOS Mojaveのそれぞれのアップデートの提供を開始した。このアップデートは多くのセキュリティアップデートを含んでおり、迅速に適用することが望まれている。
-
2月アップデートを適用したmacOS Big Sur 11.2
ただし、このアップデートにはsudoコマンドの修正は含まれなかったようだ。macOS Big Sur 11.2のsudoコマンドは、次のように脆弱性が存在するバージョンのままになっている。
-
脆弱性が存在するバージョンのsudo
Security Affairsは2月3日(米国時間)、「Recently discovered CVE-2021-3156 SUDO bug also affects macOS Big SurSecurity Affairs」において、macOS に依然としてこの脆弱性が残っていること、この脆弱性を悪用可能であると伝えた。
今後Appleから提供されるセキュリティ情報に注意するとともに、修正アップデートの配信が始まった場合は迅速に対処することが望まれる。
