昨年9月、OS Xで信頼されないアプリケーションをブロックするGatekeeperに脆弱性CVE-2015-7024が発見され、Appleが修正プログラムを配布しているのだが、脆弱性の根本的な修正はされていないことが判明したそうだ(InfoWorldの記事、 Ars Technicaの記事、 9to5Macの記事)。

Gatekeeperでは実行を許可するダウンロード元として、Mac App Storeのみ、Mac App Storeと確認済みの開発元、すべてのアプリケーションという3段階の設定があり、設定に応じて署名の確認が行われる。ただし、署名の確認はユーザーの操作で最初に実行されるファイルにのみ行われるため、最初のファイルがAppleにより署名されている場合、2番目以降に実行されるファイルを置き換えることで、Gatekeeperの設定にかかわらず任意のファイルを実行できる。Appleのディスクイメージファイル(.dmgファイル)にパッケージングしてマルウェアの配布に使用することも可能だという。

脆弱性を報告したSynackのPatrick Wardle氏が修正プログラムを調べたところ、リパッケージングが可能と報告したいくつかのファイルをブラックリストに追加するだけのものだったという。そのため、ブロックされない別の実行ファイルを使用することで再現できたとのこと。Appleはこのファイルをブロックする修正プログラムを14日にリリースしているが、また別の実行ファイルを探すのは難しくないようだ。