Appleのアクセシビリティフレームワークに、重要なTransparency, Consent, and Control(TCC)を回避できる脆弱性が見つかり、機密性の高いユーザーデータの露出と任意のAppleScript実行が可能になります。
研究者らはCVE-2025-43530を公開しました。これはScreenReader.frameworkに存在する脆弱性です。同フレームワークのMIGサービスにより、攻撃者はユーザーの同意なしに未承認のAppleScriptコマンドを実行し、保護されたプロセスへAppleEventsを送信できます。
脆弱性はScreenReader.framework内のプライベートAPIに存在し、具体的にはシステム構成ファイルから起動されるcom. Apple.scrodのMIGサービスにあります。
この欠陥は、サービスルーチン__SCROXGetValueForKeyWithObjectが用いる信頼性検証メカニズムに存在します。これはXPCクライアントが特権操作を実行できるかどうかを判定するものです。
実装には、TCC保護を損なう2つの重大なセキュリティ問題が含まれています。
第一に、この脆弱性はAppleによって署名されたあらゆるプロセスを信頼済みとして受け入れます。
攻撃者は、root権限を必要とせずに、/usr/libexec/ssh-apple-pkcs11のようなApple署名済み実行ファイルへ悪意のあるコードを注入できます。
この注入手法は署名検証を回避し、攻撃者が信頼されたシステムプロセスになりすますことを可能にします。
第二に、このサービスはクライアントの監査トークンではなく、SecStaticCodeCreateWithPath APIを用いてクライアントを認証します。
このアプローチはTime-of-Check-Time-of-Use(TOCTOU)の攻撃ウィンドウを生み、攻撃者が検証と実行の間にプロセスの同一性を操作できるようにします。
悪用に成功すると、攻撃者は任意のAppleScriptファイルを実行し、Finderを含む任意の対象プロセスへAppleEventsを送出できます。
これにより、通常は機密性の高いユーザーデータ、書類、システム機能への不正アクセスを防ぐTCC保護が完全に回避されます。
この攻撃はローカルアクセスのみで成立し、昇格権限を必要としないため、マルチユーザーシステムにとって重大なリスクとなります。
研究者らは、少なくとも追加で9つのMIGサービスルーチンが同じ脆弱な信頼チェックロジックを共有しており、同様の悪用経路を生み得ると指摘しています。
影響を受けるサービスには、__XRegisterWithServer、__XSendEvent、__XPerformActionが含まれ、GitHubのJhftssにより報告されています。
AppleはmacOS 26.2で、信頼対象を「com.apple.private.accessibility.scrod」エンタイトルメントを明示的に保持するプロセスに限定することで、この脆弱性を修正しました。
更新後の検証では、静的なコードパス検証ではなくクライアントの監査トークンを使用するようになり、TOCTOUウィンドウが解消されました。
翻訳元: https://gbhackers.com/macos-flaw-allows-tcc-bypass-exposing-sensitive-user-information/
