ClearanceKit: オープンでないファイル操作による opfilter ポリシーのバイパス

ClearanceKit は macOS 上のファイルシステムアクセスイベントをインターセプトし、プロセスごとのアクセスポリシーを適用します。4.1 ブランチ以前のバージョンでは、opfilter Endpoint Security システム拡張機能は、ES_EVENT_TYPE_AUTH_OPEN イベントをインターセプトすることによってのみ、ファイルアクセスポリシーを適用していました。他の7つのファイル操作イベントタイプはインターセプトされなかったため、ローカルで実行されているすべてのプロセスは、拒否をトリガーせずに、構成された FAA ポリシーをバイパスできました。コミット a3d1733 は、7つすべてのイベントタイプのサブスクリプションを追加し、既存の FAA ポリシー評価器を介してルーティングします。AUTH_RENAME および AUTH_UNLINK は、XProtect の変更検出も保持します。XProtect パス上のイベントは許可され、ユーザーポリシーに対して評価されるのではなく、既存の onXProtectChanged コールバックをトリガーします。4.2 ブランチのすべてのバージョンには修正が含まれています。利用可能な既知の回避策はありません。