【macOS High Sierra】重大なバグが発見される

Appleの最新OSの「macOS High Sierra」で重大なバグが発見されたようだ。

重大なバグとは誰でもログインできるというもの。「macOS High Sierra」を使用しているユーザーは注意が必要だが、既に対策方法も公開されているので一通り目を通して対策をしてほしい。

 

誰でもログインできる重要なバグが見つかる

Software Craftsman TurkeyのLemi Orhan Ergin氏が発見したAppleの最新OS「macOS High Sierra」のバグは、とても重要なバグとして多くのメディアが情報公開している。

誰しもがログインできてしまうというバグは以下の方法となる。

システム環境＞ユーザーとグループと進み、鍵アイコンをクリック。

この鍵アイコンをクリックすると設定変更のために「ユーザー名」と「パスワード」の入力が求められる。ここまでは何の問題もない。ユーザー名とパスワードが正しくなければ設定変更は不可能だ。

 

しかし今回発見されたバグにはパスワードは必要ない。

ユーザー名に「root」と入力しパスワードには何も入力しない。そのまま数回「ロック解除」をクリックするだけだ。

以下のイメージはアメリカCNETが公開しているものだ。

 

 

このバグがいかに恐ろしいものか、このイメージで理解できると思う。

またTwitter上でも以下の動画が公開されている。

Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp

— Amit Serper (@0xAmit) November 28, 2017

 

このバグの恐ろしいところは「macOS High Sierra」が搭載された端末に触れることができる人間全てが、このバグを利用することができる、という点だ。

悪意ある人物が、このバグを理解し不正に利用する可能性さえある。

 

何度でも言おう。

この脆弱性はシンプルながら、どんなに強力なパスワードも無効化にしてしまう点が恐ろしい。

 

Appleへは既に報告済みとの話で、Appleが対策されたものをリリースするまでは自分で対策する必要がある。

対策方法として9to5macはゲストユーザーをオフにする、もしくはディレクトリユーティリティからルートパスワードを変更することを推奨している。

 

また電子フロンティア財団のゼネラルカウンシルの Kurt Opsahl氏は「root」というユーザー名を作成してパスワードを設定することを推奨している。

 

Source: CNET、MacRumors、9To5Mac