Mac向けOSの最新版「macOS High Sierra」でパスワードなしで管理者アカウントにアクセスできてしまう脆弱性が見つかる

AppleのMac向けOS「macOS High Sierra」で、誰でもパスワードなしでMacの管理者アカウントにログインできるという脆弱性が発見されています。

Major macOS High Sierra Bug Allows Full Admin Access Without Password - How to Fix [Updated] - Mac Rumors
https://www.macrumors.com/2017/11/28/macos-high-sierra-bug-admin-access/

この脆弱性を発見したのはソフトウェアデベロッパーのLemi Orhan Erginさんで、自身のTwitterアカウントでこの脆弱性についてAppleに警告を発しています。

Erginさんが発見した脆弱性は非常に単純なもので、Macの管理者アカウントにアクセスする画面でユーザー名に「root」と入力すれば、パスワードを入力しなくてもアクセス可能になってしまうというものです。なお、管理者アカウントには、「システム環境設定」→「ユーザーとグループ」→画面左下のカギアイコンをクリック、の順番でアクセスできます。

この脆弱性はMacに直接アクセスできなければ悪用されることはない類いのものですが、管理者アカウントにアクセスできてしまえば、Macに新しいユーザーアカウントを追加することも可能であり、シンプルながらも強力な脆弱性と言えます。なお、Erginさんが発見した脆弱性は最新バージョンのmacOS High Sierra、10.13.1および、ベータ版として配信されているmacOS 10.13.2に存在するものだそうです。

この脆弱性への対策としては、ルートユーザを無効にしルートユーザーのパスワードを変更することが推奨されています。