Mac向けOSの最新版「macOS High Sierra」でパスワードなしで管理者アカウントにアクセスできてしまう脆弱性が見つかる


AppleのMac向けOS「macOS High Sierra」で、誰でもパスワードなしでMacの管理者アカウントにログインできるという脆弱性が発見されています。

Major macOS High Sierra Bug Allows Full Admin Access Without Password - How to Fix [Updated] - Mac Rumors
https://www.macrumors.com/2017/11/28/macos-high-sierra-bug-admin-access/

この脆弱性を発見したのはソフトウェアデベロッパーのLemi Orhan Erginさんで、自身のTwitterアカウントでこの脆弱性についてAppleに警告を発しています。


Erginさんが発見した脆弱性は非常に単純なもので、Macの管理者アカウントにアクセスする画面でユーザー名に「root」と入力すれば、パスワードを入力しなくてもアクセス可能になってしまうというものです。なお、管理者アカウントには、「システム環境設定」→「ユーザーとグループ」→画面左下のカギアイコンをクリック、の順番でアクセスできます。


この脆弱性はMacに直接アクセスできなければ悪用されることはない類いのものですが、管理者アカウントにアクセスできてしまえば、Macに新しいユーザーアカウントを追加することも可能であり、シンプルながらも強力な脆弱性と言えます。なお、Erginさんが発見した脆弱性は最新バージョンのmacOS High Sierra、10.13.1および、ベータ版として配信されているmacOS 10.13.2に存在するものだそうです。

この脆弱性への対策としては、ルートユーザを無効にしルートユーザーのパスワードを変更することが推奨されています。

・関連記事
「macOS High Sierra」登場、Safariでのブラウジングが世界最速に - GIGAZINE

iOS 11/macOS High Sierra/watchOS 4/tvOS 11のベータ2が公開 - GIGAZINE

新しい「iMac」は5K&VRに対応、より明るく高速な「過去最高のグラフィック」を実現 - GIGAZINE

macOSで採用されるAppleの新ファイルシステム「APFS」 - GIGAZINE

259

in ソフトウェア,   セキュリティ, Posted by logu_ii