高橋です。
先週、macOS High Sierraのバージョン10.13.1で、とんでもない脆弱性が発覚しました。
今回問題になったのは、macでアプリのインストールや設定変更の際にパスワードを求めるこの画面。
管理者権限へ昇格する際の認証の画面なのですが、ここでidをrootとし、パスワードを何も入力せずに”ログイン”を連打するとログインできてしまうという状態だったとのこと。
macOSはUNIX系のOSなので、rootでかんたんに不正ログインできてしまうというのはかなりまずい事態です。
幸いなことにログインできてしまうのはこの認証画面に限られるので、外部からrootアカウントで直接侵入される…という心配はなかったようですが、セキュリティに厳しいイメージのあるAppleの製品からこの不具合が出たことに、かなり驚いた方も多かったのではないでしょうか。
不具合発覚後、Appleは緊急でセキュリティアップデートを発行し、合わせて謝罪のコメントを出しています。
現在は自動アップデート機能により何もしなくても適用されている状態とのことですが、アップデート配信後にmacOSを10.13.1へアップグレードした方はセキュリティアップデートが適用されていない可能性があるので、アップグレード後に再起動を行ってほしいとのことです。
Apple公式サイトによると、アップデートが適用されているかどうかは下記の方法で確認できるとのことです。
お使いの Mac にセキュリティアップデート 2017-001 が適用されているか確認するには、以下の手順を実行してください。
1.ターミナル App を開きます (「アプリケーション」フォルダの「ユーティリティ」フォルダにあります)。
2.「what /usr/libexec/opendirectoryd」と入力して「return」キーを押します。
3.セキュリティアップデート 2017-001 が正常にインストールされている場合は、以下のいずれかのプロジェクトバージョン番号が表示されます。
opendirectoryd-483.1.5 on macOS High Sierra 10.13
opendirectoryd-483.20.7 on macOS High Sierra 10.13.1
Mac でルートユーザアカウントが必要な場合は、このアップデートを適用した後で、ルートユーザを有効にし直して、ルートユーザのパスワードを変更する必要があります。
参考サイト:
http://www.itmedia.co.jp/enterprise/articles/1711/30/news065.html
http://jp.techcrunch.com/2017/11/30/2017-11-29-apple-releases-a-macos-security-update-to-fix-huge-login-security-flaw/
https://support.apple.com/ja-jp/HT208315
