【惨敗土挫】macOS暗号化メールの一部が平文保存されるバグ発見

[過去ﾛｸﾞ] 【惨敗土挫】macOS暗号化メールの一部が平文保存されるバグ発見 (24ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

2: 2019/11/17(日)14:17 ID:??? AAS
macOS暗号化メールの一部が平文保存されるバグ発見。

3: 2019/11/17(日)14:17 ID:??? AAS
専門家の報告から3ヶ月も対応が遅れました

4: 2019/11/17(日)14:18 ID:??? AAS
macOSの純正メールアプリにおいて、暗号化されたメールの一部が平文のまま保存されているバグが発見されました。

5: 2019/11/17(日)14:18 ID:??? AAS
この脆弱性を報告したのは、アップル製品を専門としたITスペシャリストであるBob Gendler氏です。

6: 2019/11/17(日)14:18 ID:??? AAS
Gendler氏によると、この不具合はSiriに関連したバグによるもの。

7: 2019/11/17(日)14:18 ID:??? AAS
Siriはユーザーに適切に応答するために、純正メールやその他のアプリからの情報を保存したmacOS内のデータベースを使用しています。

8: 2019/11/17(日)14:19 ID:??? AAS
しかしGendler氏は、そうしたファイルの1つであるsnipers.dbに、暗号化されたはずのメールが暗号化されず平文で保存されていることを発見しました。

9: 2019/11/17(日)14:19 ID:??? AAS
左側の円に囲まれた部分は、メールアプリ上で暗号化されたメールです。

10: 2019/11/17(日)14:19 ID:??? AAS
「Unable to decrypt message(メッセージを復号できません)」と表示されて本文が非表示となっているのは、復号に必要な秘密鍵がMac上から削除されているためです。

11: 2019/11/17(日)14:19 ID:??? AAS
ところが右側の円内では、電子メールのテキストが平文のままsnipers.db内に保存されていると確認できます。

12: 2019/11/17(日)14:20 ID:??? AAS
こうした脆弱性は、直近のmacOS4つ（Catalina、Mojave、High Sierra、およびSierra）に存在しているとのこと。

13: 2019/11/17(日)14:20 ID:??? AAS
問題は、アップルの対応が3ヶ月以上も遅れたことです。

14: 2019/11/17(日)14:20 ID:??? AAS
問題は、アップルの対応が3ヶ月以上も遅れたことです。Gendler氏は7月29日に本脆弱性をアップルに報告し、
何度もやり取りを重ねたにもかかわらず、同社は11月5日まで一時的な解決策さえ発表しなかったと述べています。

15: 2019/11/17(日)14:21 ID:??? AAS
ただしGendler氏は、この一時的なソリューションは新たなメールがsnippets.dbに追加されるのを
停止するだけだとして、過去メールのスキャンを防ぐためにはファイルごと削除する必要があると指摘しています。

16: 2019/11/17(日)14:21 ID:??? AAS
そう多くのユーザーには影響ないと思われる脆弱性ですが、専門家の報告があってから3ヶ月以上も放置されていたことは問題視される

17: 2019/11/17(日)14:21 ID:??? AAS
FaceTimeグループ通話の盗聴バグもiOS 12.1配信から約3ヶ月、

18: 2019/11/17(日)14:21 ID:??? AAS
少年による報告からバグ修正まで1週間以上の遅れが生じていましたが、

19: 2019/11/17(日)14:22 ID:??? AAS
アップルにはより素早い対応が求められそうです。

20: 2019/11/17(日)14:23 ID:??? AAS
本当にひどいな