セキュリティ

Macで再びパスワード関連の脆弱性、「macOS High Sierra」はパスワードなしでシステム環境設定の一部にアクセス可能

by Wesson Wang

2018年1月に公開されたバグレポートの「Open Radar」により、AppleがMac向けに提供しているOSの「macOS High Sierra」でセキュリティ上の脆弱性が存在することが指摘されています。この脆弱性を用いれば、システム環境設定のApp Store画面へパスワードなしでアクセスできてしまうそうです。

macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password - Mac Rumors
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/

手順はまず「システム環境設定」を開き、その中の「App Store」を選択。画面左下にある南京錠アイコンをクリックして一度ロックされている状態にし、もう一度クリック。するとユーザー名とパスワードの入力を求められるのですが、通常はアカウント情報を入力しなければ解除できないロックが、任意のパスワードで解除できるようになってしまっているとのこと。なお、このバグは「macOS High Sierra 10.13.2」でのみ再現でき、「macOS High Sierra 10.13.3」では既に修正されています。


この脆弱性を用いれば、App Storeでのパスワード要求に関する設定を変更したり、OSやアプリのアップデートに関する設定を変更したりすることが可能です。ただし、初期設定ではシステム環境設定のApp Storeのロックは解除された状態になっています。

なお、macOS High Sierraといえば2017年11月にパスワードなしで管理者アカウントにアクセスできてしまう脆弱性が見つかっており、今回の脆弱性は「2つ目のパスワード関連のバグ」とMac Rumorsは記しています。

Mac向けOSの最新版「macOS High Sierra」でパスワードなしで管理者アカウントにアクセスできてしまう脆弱性が見つかる - GIGAZINE


この脆弱性についてAppleは、「このようなことが再び起こらないように、開発プロセスを監査しています」と声明を出しています。

この記事のタイトルとURLをコピーする

・関連記事
Mac向けOSの最新版「macOS High Sierra」でパスワードなしで管理者アカウントにアクセスできてしまう脆弱性が見つかる - GIGAZINE

MacBook ProにAMDのハイエンドGPU「RX Vega 64」を外付け、macOSベータ版でも圧倒的なGPU性能を発揮 - GIGAZINE

Mac向け最新OS「macOS Sierra」プレビュー版を使ってみたレビュー、追加される新機能まとめ - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.