「macOS High Sierra」の不具合:システム環境設定の「App Store」、パスワード不要でロック解除可能
「macOS High Sierra」にまたしても致命的なセキュリティの脆弱性が発見されてしまった。
「システム環境設定」内にある「App Store」を開き、左下にある南京錠アイコンをクリックすると、上記スクリーンショットのようにユーザー名とパスワードのダイアログボックスが表示される。
当然ながら、ここにユーザー名およびパスワードを正しく入力しなければ弾かれてしまい、ロックを解除することができないはずだが、「macOS High Sierra」の最新バージョンである「macOS High Sierra 10.13.2」において、ユーザー名さえ入力されていれば、パスワード不要でロック解除ができてしまう不具合が存在することが判明した。
ユーザー名を空欄にしても、適当に入力しても突破可能
当方でも確認したところ、確かにパスワード不要で「App Store」の項目を編集する権限が手に入ってしまう。ユーザー名を「test」など適当な文字を入力しても空欄にした場合でも、自動的にユーザー名が補完され、パスワード不要でロック解除できることも確認した。
この設定画面では、アップデートの自動確認、同一アカウントでログインした他のMacでアプリケーションを自動的にダウンロードできるようにするか、そしてパスワードを求めるタイミングや条件などを設定することができる。
この不具合を悪用するためには物理的にMacを入手する必要があるものの、カフェで席を離れたすきに他人に設定を変更されるリスクがある。
Appleは昨年11月末、パスワード不要で管理者権限が得られるという極めて致命的な脆弱性を指摘され、修正したばかり。セキュリティの高さを謳うAppleのソフトウェアから、誰もが簡単に悪用できてしまう脆弱性が発見されてしまうのはユーザーを不安にさせてしまう。
幸いにもこの不具合は「macOS Sierra 10.12.6」および「macOS High Sierra 10.13.3」の最新ベータ版では再現されないとのこと。このことから、既にAppleは不具合に気づき、修正を加えている可能性がある。
対処法は今のところ存在しない。アップデートの配信を待ちましょう。
(via MacRumors)
もっと読む
iPad・Mac、5GHz Wi-Fiが”2倍高速”に。最新アップデートで160MHz対応
macOS Tahoe 26.2、正式リリース。ビデオ通話中にディスプレイが”照明”に変身
macOS Tahoe 26.1、正式リリース。Liquid Glassの「色合い調整」やライブ翻訳に対応
macOS 26.0.1、正式リリース。Mac Studio(M3 Ultra)の”macOS Tahoe非対応問題”を修正
iOS 26.1ベータ版が配信。日本語でライブ翻訳が利用可能に
macOS 26 Tahoe、正式リリース!Liquid Glass採用で”まったく新しいMac体験”へ
Apple、現在悪用中の脆弱性を緊急修正。macOS Sequoia 15.6.1を即座リリース
macOS Tahoe 26、航空写真スクリーンセーバー15種類が新登場!Lake Tahoeの時間変化とインドの絶景が楽しめる
iOS 26やmacOS TahoeなどPublic Beta 2配信開始。NDA違反・バグリスクに要注意
macOS Tahoe 26でMacintosh HDの旧アイコンが廃止、SSDライクな新デザインに全面刷新
macOS Sequoia 15.6、正式リリース。「重要なバグ修正とセキュリティアップデート」
iOS 26やmacOS Tahoeなど各種パブリックベータ版がリリース。NDA違反に注意
macOS Big Sur、次のGoogle Chromeバージョンでサポート終了です
Appleはゲーム体験の向上に本気です。「Games」アプリのココが期待できる
iOS 26やmacOS 26の発表により、ピンチに追い込まれたアプリがこちらです
スクショで”検索”、迷惑電話を撃退。WWDC25で披露された最新のApple Intelligence10選
さようなら、Intel Mac。macOS Tahoeが最後のメジャーアップデートです
macOS 26 Tahoe正式発表。Spotlightが「必要な時に必要なもの」を提供するセントラルハブに進化
macOS 26の名称は「macOS Tahoe」か。有名リゾート地「タホ湖」由来
