月刊脆弱性18/01 macOSでまたﾊﾟｽﾜｰﾄﾞ迂回の不具合

**名称未設定** · 2018/01/11(木) 21:19:57.60

「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」
https://japan.cnet.com/article/35112998/

> 　パスワードなしでログインできてしまう「Mac」のバグがまた発見された。
> しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、コンピュータに少しいたずらされるだけで済みそうだ。

よかった、Appleの名声が落ちただけでユーザーへの被害は少ない。よかったよかった

> このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、懸念の声が上がるのは避けられないだろうが、
> この脆弱性を悪用されても、コンピュータを完全に乗っ取られることはない。

よかったよかった。

> 　2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、誰でもパスワードなしで
> Macにログインできることが明らかになった。これは、コンピュータ内のデータを泥棒や詮索好きな友達、家族、
> 同僚から守る最も基本的な防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、
> パスワードフィールドにどのような文字を入力しても、システム環境設定の「App Store」設定のロックを
> 解除できることが報告された。ただし、管理者としてログインした場合に限られるという。

よかった。パスワードの意味がないだけでユーザーは守られてる
なぐられるのはアップルだけや

> 　米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」（10.13.2）を搭載するMacで、
> App Storeの設定のパスワードフィールドに適当に文字を入力してみた。すると、本当にロックを解除できた。

すると、本当にロックを解除できたw 信じられない！すると、本当にロックを解除できた！びっくりだよ！

**名称未設定** · 2018/01/11(木) 21:36:43.74

ふがいない

**名称未設定** · 2018/01/11(木) 21:54:51.89

酷すぎる。macOSの開発チーム、まともなのがいないんだろうな。

**名称未設定** · 2018/01/11(木) 22:35:22.26

クソワロタ

**名称未設定** · 2018/01/12(金) 00:39:31.40

パスワード入力のダイアログっていう共通のルーチンを
呼び出すわけじゃないのかね

**名称未設定** · 2018/01/12(金) 12:21:57.58

バックドア作りに失敗したのかな？

**名称未設定** · 2018/01/12(金) 12:28:46.94

来月はどんなミスやらかしてくれるんでしょう？

**名称未設定** · 2018/01/13(土) 02:41:11.83

他人のIDでAppストアで買い物しまくれるんちゃうか？

**名称未設定** · 2018/01/14(日) 20:27:19.97

今度はパスワードが正しければユーザー名は任意だとか。

ホント滅茶苦茶だな。もう何が起こっても驚かんわ。

**名称未設定** · 2018/03/11(日) 07:41:19.51

サードパーティーアプリが簡単にMacをスパイできる脆弱性が報告される
https://www.lifehacker.jp/2018/03/app-developpers-can-spy-on-mac-computer-through-mac-apps.html

**名称未設定** · 2018/03/29(木) 13:59:38.11

macOS High Sierra、APFSのパスワードを平文で表示してしまうバグ
https://pc.watch.impress.co.jp/docs/news/1114015.html

**名称未設定** · 2018/04/25(水) 15:25:57.47

iOSとmacOS、Safariの更新版リリース　WebKitなどの脆弱性を修正
http://www.itmedia.co.jp/enterprise/articles/1804/25/news098.html