macOS High Sierraのパスワード不要で管理者権限乗っ取られる脆弱性が解消
昨日(2017/11/29)のIT Mediaの記事。
AppleのmacOS High Sierra(macOS 10.13)で、パスワードを入力しなくても管理者権限でログインできてしまう方法を発見したとして、ソフトウェア開発者がTwitterに発見内容を投稿した。
「システム環境設定」から「ユーザとグループ」を選択し、カギのマークをクリックして表示されるログイン画面で、ユーザ名に「root」と入力し、パスワードは空白のままで何度かログインボタンをクリックすれば、管理者権限でログインできてしまうと伝えた。
これ、わたしも試してみましたが確かにパスワード空白でrootユーザでログインできちゃいました。こわいなーと思っていましたが、早速、今日配信されたセキュリティアップデートで修正されました。Apple対応早いね!
Appleは11月29日、この脆弱性を修正するセキュリティアップデート「2017-001」を緊急公開した。
今回のアップデートはmacOS High Sierra 10.13.1のみが対象となる。一方、macOS Sierra 10.12.6までのバージョンは影響を受けないとしている。
