Microsoftは2021年10月28日、「Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection - Microsoft Security Blog」において、macOSのSIP (System Integrity Protection)に脆弱性を発見したと伝えた。攻撃者はSIPをバイパスしてデバイス上で任意の操作を行うことができると指摘している。

  • Microsoft finds new macOS vulnerability、Shrootless、that could bypass System Integrity Protection - Microsoft Security Blog

    Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection - Microsoft Security Blog

SIP (System Integrity Protection)は、macOSにおける保護機能の一つ。ルートユーザーがシステムの完全性を損なう操作を制限する役割を担っている。MicrosoftはSIPの保護機能を回避するプロセスを評価している時に今回の脆弱性を発見したと説明している。具体的には、ポストインストールスクリプトを含むAppleの署名入りパッケージのインストール方法に問題があると指摘している。

攻撃者は特別に細工したファイルを使ってこのインストールプロセスを乗っ取ることができるという。SIPの制限を回避した攻撃者は、悪意あるカーネルドライバをインストールしたり、ファイルシステムを上書きしたり、持続可能で検出不可能なマルウェアをインストールしたりすることができるとされており注意が必要。

Microsoftはこの脆弱性情報をAppleと共有済みであり、先日公開されたmacOSのアップデートにこの脆弱性の修正が含まれている(参考「iPhone・iPad・Macに複数の脆弱性、アップデートを | TECH+」)。