「macOS High Sierra」の不具合:パスワード不要で管理者権限が得られる脆弱性が発見
「macOS High Sierra 10.13」および「「macOS High Sierra 10.13.1」において、パスワード不要で管理者権限を取得することができてしまう脆弱性が発見されてしまった。
これはデベロッパーLemi Orhan Erginさんが発見。ユーザー名に「root」と入力するだけで、パスワード不要で管理者アカウントとしてログインできてしまう、セキュリティリスクの高い不具合となっている。
システム管理者しか使えないはずのオプションが解放
具体的に何が起きているのか。
「システム環境設定」の中にある「ユーザとグループ」を開き、画面左下にある「変更するにはカギをクリックします。」をクリックすると入力ボックスが表示される。「ユーザー名」として「root」を入れ、「パスワード」を空欄のまま「ロックを解除」をするとロック解除できてしまう、という不具合だ。
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
これならログインさえされなければ問題ないのでは、と思うかもしれない。実は、ログイン画面でも「その他のユーザ」を選択し、ユーザー名「root」だけで入ることができてしまうことが明らかになっている。
対処法:rootパスワードを設定する
Macの中には個人情報を含む重要なデータが大量に入っている。Appleはこの問題を認識し、ソフトウェアアップデートでこの脆弱性を修正することを約束。
Statement from Apple on the roof access vulnerability:https://t.co/iLPcEBMmRq pic.twitter.com/ohp7pnZITv
— Rene Ritchie (@reneritchie) November 28, 2017
アップデートが配布されるまではrootユーザー用のパスワードを設定するよう、案内している。やり方は下記の記事を参考にどうぞ!
(via MacRumors)