Lamiyi

macOS High Sierra に重大なバグが発見され、誰でもパスワードなしで root としてログインできる可能性があります。

このバグは、Lemi Orhan Ergin‏ 氏によって発見され、今朝ツイートされました。

@AppleSupport様、macOS High Sierraに重大なセキュリティ問題があることを確認いたしました。ログインボタンを複数回クリックすることで、誰でもパスワードなしで「root」としてログインできてしまいます。@Apple様はこの問題をご存知でしょうか？

このバグは検証済みで、重大なセキュリティリスクとなります。パスワードなしでrootとしてログインしようとすると、rootユーザーが有効化されていない場合は有効化され、デバイスへのアクセスが可能になるようです。このバグはmacOS 10.13、10.13.1、10.13.2ベータ版で発生するようです。

自分でバグを試すには:
● システム環境設定を開きます。
● システム環境設定ウィンドウから「ユーザーとグループ」を選択します
。● ウィンドウの左下にあるロックをクリックします。
●ユーザー名としてrootと入力し、Enter キーを押すか、「ロック解除」をクリックします。

最初に「ロック解除」をクリックするとルートアカウントが有効になり、2回目に「ロック解除」をクリックするとアクセスできるようになると考えられています。しかし、一部のユーザーからは、さらに数回クリックする必要があるという報告があります。また、最初にカーソルをパスワードフィールドに移動する必要があるという報告もあります。

このバグは、Apple Script、インストーラー、ログインウィンドウ、ゲストアカウント、共有サービスログインなどでも発生するという報告があります。

[@patrickwardle経由]

Appleが修正プログラムをリリースするまで、お使いのマシンでルートユーザーを有効にし、パスワードを空白以外で設定してください。設定方法は以下をご覧ください。これにより、悪意のあるログイン試行を防ぐことができます。

● macOS High Sierraでルートユーザーを有効にし、ルートユーザーのパスワードを変更する方法

Appleはソフトウェアアップデートに取り組んでおり、近日中に公開される予定です。最新情報については、 Twitter、Facebook、またはRSSでiClarifiedをフォローしてください。