早かったです。今朝、macOS High Sierra に APFS 暗号化コンテナのパスワードが漏洩する脆弱性に関する記事を掲載しました。この問題を修正する追加アップデートがリリースされ、Mac App Store から入手可能です。2つのセキュリティ修正に加え、この追加アップデートでは「インストーラーの堅牢性向上」、「Adobe InDesign 使用時のカーソルグラフィックバグの修正」、「メールアプリで Yahoo アカウントからメールを削除できない問題の解決」も行われています。
Apple の次の文章で述べられているように、このアップデートでは実は別のセキュリティ問題も修正されている。
ストレージキット
対象OS: macOS High Sierra 10.13
影響: ローカル攻撃者が暗号化された APFS ボリュームにアクセスする可能性がある
説明:APFS 暗号化ボリュームの作成時にディスクユーティリティでヒントが設定されている場合、パスワードがヒントとして保存されていました。この問題は、ヒントがパスワードである場合にヒントの保存をクリアし、ヒントの保存ロジックを改善することで解決されました。
CVE-2017-7149: Leet Tech の Matheus Mariano 氏
安全
対象OS: macOS High Sierra 10.13
影響: 悪意のあるアプリケーションがキーチェーンのパスワードを抽出できる
説明: アプリケーションがキーチェーンアクセスのプロンプトを擬似クリックで回避する方法が存在していました。この問題は、キーチェーンアクセスのプロンプトでユーザーパスワードを要求することで解決されました。
CVE-2017-7150: Synack の Patrick Wardle 氏
macOS High Sierra 10.13 の新規ダウンロードには、macOS High Sierra 10.13 追加アップデートのセキュリティ コンテンツが含まれています。
