요약
- 취약점 : 악성 어플리케이션으로 Keychain(Mac OS용 패스워드 관리 시스템)에 저장된 패스워드에 대한 접근 가능. 관리자의 권한이 없이도 다른 사용자의 Keychain 파일 내용까지 추출 가능함.
- 해당되는 제품 : macOS 10.14.3 (현재까지 확인된 버전)
- 대응방안 : 수동으로 Keychain 잠금, Keychain에 대한 비밀번호 설정.
- Apple이 macOS를 제외한 나머지 제품에 대해서만 버그 바운티 프로그램을 실시하는데에 대한 불만으로 최초 발견자(Linus Henze)는 Apple에 취약점 관련 자료 공유를 거부함.
관련 CVE정보
- PoC : 아직 공개하지 않음 (재현 YouTube 영상만 공개함)
영향성
PoC가 공개되지 않아 정확한 영향성은 확인하기 어려움
참고자료
Linus Henze 트위터 : https://twitter.com/LinusHenze
출처 : https://www.zdnet.com/article/new-macos-zero-day-allows-theft-of-user-passwords/#ftag=RSSbaffb68
https://www.bleepingcomputer.com/news/security/researcher-declines-to-share-zero-day-macos-keychain-exploit-with-apple/