0001名称未設定
2017/11/29(水) 23:30:58.53ID:+uJgqOe00macOS「High Sierra」に、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
http://pc.watch.impress.co.jp/docs/news/1084864.html
問題は2つあり、1つは新ファイルシステムのAPFS(Apple File System)を
利用している環境で発生するもので、APFSのボリュームをマウントするさいに
聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、
ヒントの代わりにパスワードそのものが表示されてしまう。
なお、パスワードのヒントを登録していなかった場合は、パスワードが表示されない。
もう1つは、悪意のあるアプリが、キーチェインパスワードを抜き取れるというもの。
キーチェインにアクセスするさいにパスワードを要求することで対応している。
■ 今回
「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
https://japan.zdnet.com/article/35111084/
「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、
パスワードがなくてもロック解除してログインできることが明らかになった。
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、
設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、
ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。
Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、
米国時間11月28日にツイートでApple Supportに報告した。
macOSに重大脆弱性発見。パスワード入力なしでログインできてしまう
https://www.gizmodo.jp/2017/11/massive-security-vulnerability-in-high-sierra.html
速報:High Sierra Macに重大バグ――当面Macを放置してはいけない
http://jp.techcrunch.com/2017/11/29/2017-11-28-astonishing-os-x-bug-lets-anyone-log-into-a-high-sierra-machine/
