【Mac】アップル、「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
■ このスレッドは過去ログ倉庫に格納されています
「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。
https://twitter.com/lemiorhan/status/935578694541770752
米CNETは、このセキュリティ脆弱性の存在を独自に確認した。
https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif
「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。
https://support.apple.com/ja-jp/HT204012
Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、『ルートパスワードを変更する』の項目にある手順に従ってほしい」とした。
このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。
Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。
電子フロンティア財団(EFF)のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。
配信2017年11月29日 07時50分
CNET Japan
https://japan.cnet.com/article/35111084/ F8を押しながら起動するとAdministrateorがパスワード無しで現れるXP >>4
本当にまだ動いてるならすげー
俺のQuadra950は一昨年に、まったく動かなくなった(´・ω・`) >>7
良かったら俺のquadra650譲ろうか?幻のppc拡張カードついてるよ >>3
windowsも大概だけどな…
まともなOS無いのかな そもそもログインにおいてブランクパスワードを許してる事自体が間違い アップデートするとAdministrateorを無効化するwin10 9/25に新OSが出て、発見されたのが昨日か
こんな簡単そうなものが2ヶ月も見つからなかったんだな iPhoneユーザーの指紋と顔情報はすでにダダ漏れ。 ちょっと洒落にならんのじゃね?
ガバガバ過ぎてみんな対応する間に抜かれてそう スタバに置いといたMacBook持ってれたらアウト root、root、root
root、root、root
root脆弱ぅ〜 なんか前にも同じような内容の記事みたけどそれとは別の脆弱性? VNC(リモート)でも有効だった。
接続の設定をONにしないといけないけど。 これがAndroidでいう「rootをとる」ってヤツか… macOSは堅牢だと言われてるが、ユーザーが少ないからセキュリティホールの被害がたまたま少ないだけで
セキュリティはガバガバユルユルだよw >>35
もしかすると問題の根っこは同じかもしれないが、あやしい部分はこれだけではない ここまでアホだとむしろ笑える。
こんなんでITの先端行ってる俺最高!とか思ってんのか? root
gyokusai
===
| .|
┌┴┴┐
 ̄| ̄ .Ξ| ̄
|尊..Ξ|
|皇..Ξ| プスッ
| ..Ξ| ;・ ▀ ▪ ▂▄▅▆▇■▀▀〓◣▬ ▪ ■ … .
 ̄|_| ̄ :;; ;■ ◥◣ ◢▇█▀ ¨▂▄▅▆▇██■■〓◥◣
. / 、o ヽ / || /::"・∴▂▅██▅▆▇██▀▀ ◥◣
/ | __ノ ・ .,. | .、▂▅▇███ ….▅ ■ ◥◣
.. ,, ■■■■■・:;;;・ ▪ ■ ∴‥ ∵▃ ▪ ・
.. ■ ジャップ■ ▪ ∴ ….
.. ii.  ̄" " ̄ii
/ヾ| (;゚ ); ,.(:゚ ;).|
//;;>〈 ___ ||.__ 〉 天皇陛下バンザァァァァァァイ!!
//γ .|. .. ●● |
ソ_ソ>'´.-!、..\.. .Д /
τソ −! ヾ ー-‐ ィ、,,..
ノ 二!__―.' .-'' \
/\ / まあこれルートユーザー有効にしてパスワード設定するだけで治るんだけどな 計算機でバグ出したり、詰めが甘いというか酷いな... パスワードを忘れてしまったときのtipsなわけない
昔のWindowsでログイン自体をキャンセルできたこと思い出した これって誰でもrootとしてログインできるってこと?
rootを入力するけどゲストユーザとしてログインできるってこと?
前者ならかなり嫌なバグだね
local exploitだしrootパスワード設定すれば防げるとは言え
デフォルト状態でこれはまずい 死んだ息子のiPhoneは遺族がどんなに頼んでも絶対に解除しなかったのにな >>38
ハッキング大会だとMacはいつも秒殺されてるな
しかもAppleが安全を過剰にアピールし過ぎてるせいで、マトモに対策打ててない
アップル、脆弱性探しに著名ハッカーらを極秘動員 賞金は破格の2,000万円
https://forbesjapan.com/articles/detail/13732/1/1/1
> 一般的な賞金プログラムとは異なり、参加は完全招待制。28日の説明会は極秘扱いで、参加者は内容の口外自粛を求められた 憧れのスーパーユーザーかよ。
昔、#にして、
やりたい放題UNIXをいじったなあ こんなのルーターではよくある話で
パスワードが設定できるなら脆弱性もクソもないだろ 脆弱どころじゃない、こんな初歩的なミスw
High SierraじゃなくてHigh Shareだわ 間違いなくコンピュータ史に残るバグ
>>52
前者だよ
ローカルもリモートログインもファイル共有も有効にしてると通っちゃうよ
アップデートを待たず、一刻でも早くrootのパスワードを設定して塞ぐべき
>>60
本来なら上記の手法で有効化しないとroot自体が使えないはずだった
ルートユーザの有効化とパスワードの設定
https://support.apple.com/ja-jp/HT204012 Rootsは 日本タバコ産業の缶コーヒーブランド名だった はず この程度のバグよりAndroidのハンバーガーの絵文字のチーズの位置がおかしい方が重大な問題です バグ?
グーグル「位置情報収集していたが、それはバグな」
アップル「ルートパスワードがなしだが、バグな」
ポイントは、ハイシエラにする前にルートパスワードを掛けていて、強制アップるデートしたあとパスワードはどうだったのか、かな 普通は、これみたらバックドアが見付かった
と思うような 今度こそroot一切触れないように変更して来そう。
そして、それが原因のトンデモないバグ埋め込みそうw MacOSそれ自体より基礎になったFreeBSDの方が安全だろう filevaultが有るから大丈夫さ…
大丈夫だと言ってくれよ >>74
その地均しかもな
ユーザからroot権限を奪う。安全!セキュリティのためー!
インストール作業はアップルに申請
一回3000円、アンインストール5000円 アホOSって絶対サンデープログラマーが作ってるんだろ?
前も考えられないバグ出してるし
【話題】iOS7.0.6は前代未聞の深刻なバグ対策!iPhoneユーザーは至急アップデートを!
http://uni.2ch.net/test/read.cgi/newsplus/1393234976/
Wiredによると、暗号学の専門家である米ジョンズ・ホプキンス大学のMatthewGreen教授はバグの
正体を見つけ、「アップルのバグがわかった。これはひどい。本当にひどい」とツイートしました。
Googleの暗号の専門家、Adam Langley氏もAppleが公開しているソースコードを分析し、
バグの正体はプログラミングを学んだ者なら誰でもすぐに気付くであろう内容と発表しています。
> 「アップルのバグがわかった。これはひどい。本当にひどい」
> バグの正体はプログラミングを学んだ者なら誰でもすぐに気付くであろう内容と発表しています。 これバグじゃなくて
悪意のある社員に裏口仕込まれてるんじゃないの >>1
これネットワーク越しにできたら
世界中のMacハックできるじゃん あえてこのバグ残したら
何か緊急事態の時に有効利用できたりしない? さすがにこのレベルは…
絶対に無いと思いこんでるから
テストもしなかったんだろうな >>85
スタバのマック画面が一斉にウィンドウズになったら笑う >>17
あるわけ無い
そもそもセキュリティを高める術は沢山あるが使い勝手が悪くなるだけ
如何に早く発見してドアを閉めるかだけ
アップルの罪はセキュリティが高いとユーザーを騙したこと
それをユーザーが信じていること キーチェーンとかにアクセスできるとしたらやばくね
Sierraから上げてないからわからんけど >>97
中途半端にroot隠してるから普通に使ってたらrootパスワード意識しないんだわこれが。 ウィンドウズだったら即3スレくらいまで行ってたのにな これは脆弱性以前の問題だろ
マカーの俺でも許せんわ、バカにしてるのか! スタバで開いて西海岸の味って書き込むだけなんだからなんでも良いんだろ 不思議なのは、どうして、ここを弄る必要があったのか。 NeXTSTEPの成れの果てだからUNIXだよな。たしか
rootは大切じゃんwww ログインはサイトとかもすべて指紋認証になってほしいな。
パスワード設定とか全部やめにして指紋をパスワードにしてくれ。
開発できるだろ? 指を切断されたときは、どうすんねん。
大根でも認証成功したり、
一卵性双生児だと声認証で、何回かリトライすると認証が通ったイギリスの銀行があったりするのだゆ 生体認証は、単独では成立しない。
補助的な機能にしかならない。
交換可能にするために、非公開の暗証がある、
指紋の右上だけ、全体の一部をサンプリングとかね
その分、精度もかわる。 # のコマンドプロンプトで
rm -rf /
をやってみたいなwwww あと指紋認証でよくあるのは、
寝てるときに、嫁さんがスマホに指をつけてタッチで解除。
これを防ぐ現実的な方法は、指紋と一緒にパスワードやゼスチャを求める。
嫁さんプンプン >>71
アップルデートは南青山で
その後パスワードとか意味ワカンネ >>122
rootユーザの環境変数下で作業したいのか、一般ユーザのままでしたいのかで異なる apple信者が、Windowsなら爺婆がうるさく騒ぐ事態になっていたMacだからならない
と何故かこんな機会でも言っててワロタ >>118
Windows以外のCUIでコマンドプロンプトって言う人って… UNIXなんか使うから……BeOSを選択しておくべきだったな >>118
それ今はオプション付けないと動かないんじゃないのか Apple教原理主義者はApple製品のセキュリティーの高さを自慢し、
他社製品の脆弱性を強調する教義を頑なに守るが、
Apple製品も脆弱性だらけな件。
しかし、Apple製品の脆弱性に関するニュースが流れると黙りを決め込む件w >>132
般若心経みたいにね
「西海岸の味。マックの林檎はリア充の証
インスタ映えするデザイナーな僕私」
「それでも私は、マッキントッシュを使いツヅケるよ!」
餌宮錐継「正解。それでこそマッキントッシュ信者だ」 ことえりが使えなかったのを覚えてる
後、performa6410とPowerMacintosh8600が5年前からうんともすんとも言わない・・・ 緊急アップデートが来たんだけど
これで治ったんだろうか? わざわざ今ままでないもの仕込むとか
Appleが勝手に覗いたり遠隔操作するためだったんだろ Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.
CVE-2017-13872
アップル公式より
クレデンシャルの検証におけるプログラムバグだそうだ。
つまり、元からルートで動いていたが、同じルートを指定されたのでokと判定したみたいな感じかな
ぶっちゃけ、 ぶっちゃけ、特権プログラムが厳格に実装規則を守ることが必須な部分を
めんどくさいから特権でサクッと規則無視してパスワード変更する実装なんだろうな
最高、最強のセキュリティ!マッキントッシュ!が呆れる うちのマック確認したらまだハイシエラにアップグレードしてなかったw
スマホ&タブレットに普段使用が移っちゃったんであまり使ってなかった。 >>1
名前はマウントハイシェラでも高さは高尾山って言うね やはりMacやiPhone使ってる奴は大馬鹿者だね もうさ面倒くさいんだよね。
いま10.13.1するのにけっこうアップデート時間食った。
そのうち10.13.2とかにしないといけないんでしょ。ああ面倒くさい。
これやんないとなにか不具合あったっけ?
とくにないならいいや。 WindowsやAndroidだったら死ぬほど叩くキチガイApple信者が、Appleの話だとダンマリ決め込むからホント馬鹿だと思うわ
Apple製品使ってるやつは人間的な能力そのものに問題があると言わざるを得ない この数ヶ月でmacを紛失した、盗まれたやつはこのアホな脆弱性のせいでMacの中身を完璧にサルベージされてしまうわけだからな
まさに人生終わったねご愁傷様
iPhoneでもこういう強制ロック突破のバグが何度も出ていて、同じような被害が全世界で起きる状況が繰り返されてる
Apple製品は存在そのものがウイルス
Apple製品使ってるバカはウイルスのキャリアーだ つかこれは穴ってレベルじゃないよ。仕様だろ(失笑) ウイン10がクリアップ後2重ピンになるのは何故や
バグか iPhoneにもバックドアは存在するからな
アップル社が知ってるからいつかは漏れることもありえる >>102
アポー信者は寄り付きもしないな
カルト宗教だからかw Windows10は米国防総省が採用してるから
こんなアポーみたいな馬鹿なことしたら
北朝鮮とかに乗っ取られて世界が終わるからな
ほんとにアポーを盲信してるアポー信者ってアホだわ >>130
FreeBSDだと自分で最初にrootのパスワードを設定しないとインストールできない 唯一のまとまな市販unix実装(キリ
技術者というより技術文化はlinux系の方がまともなんだろうなw >>163
アポーのOSってNextStepが元だからFreeBSD系なのになw
みばえだけ必死に整えて中身は改悪しまくってるな >>73
>>80
誰でもログイン可能 そうMACならね [319726179] 10月のOSシェア
そのうちLinuxにも抜かれるな
1 Windows 90.77%
2 Mac 6.25%
3 Linux 2.98%
https://news.mynavi.jp/article/20171103-a052/ もしこれがアポーを採用だったとしたら背筋が凍るな
米陸軍が堅牢仕様のWindows 10タブレット約1万台を調達
https://japan.zdnet.com/article/35098637/ 昨夜に
パスワード変えたから無関係
マカーならルートパスワードを掛けるのはデフォ
パスワードかえたー(ホッ)
↑ この連中が一番マカーのヤバさを物語る
これ、パッチ当てないとダメなもの(ロジックバグ)なのに、デマに騙されて安心している スタバでどや顔で操作してるアホのMacBookに機密情報なんて入ってないだろうから盗む価値はないな >>173
物自体が高いから売る目的で盗まれる事はありそう >>167
MacBook Air 2011 MidにDebian(MATE)入れてる。
すげえ快適。 ルーター入れて外部からログインできないようにしてあれば特に問題ないんじゃね?
いざという時にデータの救出とかできるのはメリットとも言える
Windowsだって、Administratorアカウントを表示させることで似たような状態にできるし
Utilmanをcmdに置き換えたりしてな よくわからんが5000ガバスくらい貰えそうな横綱級のウル技ってこと? >>176
ポリアンナ症候群ってホントに居るんだな 個人で使ってるパソコンにパスワード掛けてるか?
俺は、いちいち面倒だから掛けてないぞ
見られて困るようなファイルもないしな
というか自分以外に起動しないよ >>182
それはご自由に
見られて困るファイルが有る人もいれば、誰かに触られたら困る環境の人も居るのは
じっくり考えてみればあなたでもわかるよね? >>183
だから、必要ならパスワード設定すればOKで終わりの話だと思うが?
そもそも、WindowsでもAdministratorアカウントを表示させれば他人のパソコンの中を見れる
わざわざ、非表示のAdministratorアカウントにパスワード掛けてる人なんて滅多に居ないだろうし
仮にパスワード掛かっていてもツールでクラックできる
だが、それがいいんだよ
父親が亡くなってパスワードが分からないからパソコンの中からデータが取り出せないと
相談を受けたことが何度かある >>184
Appleはそう考えずアップデートで対応するっつってるんだから問題なんだろ
あなたがOKと思えば全世界の人もOKと思うだろうってのは病気だから rootにパスワード無しってアップルはコンピュータのコの字も知らないって事か? SSDでOSまるごとかUSBメモリで持ち歩いてるからね
パスワードなんて前時代的なもんは最初から使ってない Windowsなら今頃10スレぐらいは行くひどいバグなのに
全然伸びないな これないしょのはなしあるがねつゃんころぐぁしくぉんだぱっくとあある 前はメールの同期が出来なかったし
今回も何かあると思ってたからアプデしなかったわ さっきセキュリティアップデートかかったけど
これかw Appleへの実害はゼロ。
なのにフォローしてもらえる、ありがたい事だ。 半年ほど開きっぱなしだったんだから
もうなんか仕込まれているよね MacなんてOSのシェアでは超マイノリティだから
ハッカーがウイルス作る気が起きない。
セキュリティーが高い訳では無くハッカーに相手にされてないだけ。 >>200
ウイルスを作るならMacの方が簡単だからね。コード1行でも十分できるわけで。
隠しメッセージやフェイクやミニゲームを入れたらまだMacのほうが多いんでないか。
実質的に世界初とされるウイルスはAppleII(Macの前の機種シリーズ)のエルククローラだよ。
単なる個人広告の表示のみ。 >>200
マカー同士の選民意識が作ることもあるだろうよ
人間なんだから ハッキングコンテストで一番に破られるのはMacだろ
ただ狙われてないだけ >>204
狙われないわきゃない
実際にはAppleもApple信者も秘密主義カルトだから被害情報が隠蔽されてるだけ macOS High Sierra脆弱性パッチに別の不具合、ファイル共有できなくなる恐れ。ただし修正は簡単
あらら
Munenori Taniguchi
10 時間前 in Security
http://japanese.engadget.com/2017/11/30/macos-high-sierra/ しょせんナンチャッテwindows
偽物なんて、こんなもんだ そこまでは言わないけど、アマチュア気質なんだろうな。 知り合いのすすめでmacを買う所だったけどwindowsマシンにします >>213
iOSも劣化しまくりでとくにiOS11は糞すぎてアメリカなどでも最悪の評価
Appleそのものがもはや完全に終わってる もう(/´△`\)あげて
マッカーのブランドイメージは残り2割よ ここまでバカな製品だと脆弱性などというレベルじゃ無いでしょ 法人では「Apple製品は実用に足る品質を満たしていない」とかすごい理由で業務利用禁止にしようとしてるところが増えてきてる
さすがに今回のはそのレベル macbookにはwindowsが入ります ベストノートPC >>217
俺もそれは事実だと思うかな
特徴的なのは、
1)統合管理
つまりコンフィグレーションの一元管理手段がない
2)ネットワーク機能が陳腐
ファイル共有、フェッチ、アップロードがほとんどhttpしかない
3)セキュリティ機能がパーソナル
細やかなACLを設定できない
4)バックアップ、リストアがディスク単位
ファイル単位で履歴つきでバックアップから出し入れできるファイルサーバは、ウィンドウズだけ
協調作業に必須な機能が実用レベルじゃない。
子供のオモチャ >>220
全てがfになるのトリックもマックosのバグだしなぁ 会社から支給されたiPad、Kを入力すると巨乳が変換候補の一番に表示されるようになったのも、これが原因? モンゴル力士の八百長が話題になってますが、野球界にたくさんいる在日韓国人が
これをやってないと思いますか?
しかも彼らはモンゴル力士と違って日本人に成りすましているのでさらに巧妙に
八百長がしやすい状況です。
作られたヒーローがどれだけ野球界には多いことか、想像するだけで思い当たりますね。
まともな日本人の野球選手で実力が本当にある選手はみなメジャーに行くんですよ。
日本人選手のメジャー移籍に批判的なのは、八百長をやってる在日韓国人のインチキ野郎。
彼らがやってきた欺瞞に満ちた記録とその正体がバレるのを恐れている、というわけです。 >>1
酷すぎwww
ワロタwwwwww
つーか、どうすんだこれ スマホやPC、あるいはクラウド、SNSを見つめるとき、
闇である彼らもまた、おまえ、あなたを見つめている。
闇と戦うときは、注意せよ!
おまえもまたクラウドとならないように… 今どきApple製品を使うのは情弱か強がりしかいないよ
かってのβ方式のビデオデッキと同じ存在 んでもノートPCや次の筐体デザインやハード規格もUSBやwifiみたいに今までどおりAppleからくるはずだぞ それより仮に作ったアカウント消せないバグ何とかしろw >>230
あのタッチバーとか言うの全然流行らないな >>230
USBを最初に全面搭載したのはPC98NXシリーズであってmacではない
wifiもすでにデスクトップの無線化で普及が始まってたのをノートに入れただけ >>73
つまり、これはバグじゃないのか。
ただ玄関の鍵を開けっ放しにしてあげただけ。
親切であってバグでも欠陥でもない!
のか? さすがAppleだな。
パスワードから人類を解放した。
革新的だわ。 最低限の防衛も愛のために放棄したんだな
無防備すぎてAIDSに感染しないか心配だ >>230
ilinkがFireWireでIEEE1394になって結局USB2.0に負けたんだっけ? >>234
それIT関連に言ったら大爆笑で本気でバカにされるぞ
ネタにすらならん
そもそも今のMS-WindowsはMacOSそのもの。本来のMSのOSはもう消滅したといっていい。
週刊アスキー
http://weekly.ascii.jp/elem/000/000/197/197096/
いまで言えば、USBに相当するインターフェースだ。
実際、ADBより10年ほどあとに登場するUSBは、このADBの仕組みを参考にして、
モダンなインターフェースに再構成したものと言える。 1983年11月Windows発表
MacOSは1997年9月
system1に遡っても1984年
明らかにMacがパクリ 20世紀のNHK新電子立国という番組でMacはwindowsそっくりと揶揄されていたな
あり得ない欠陥が志の低さを証明しているぞ つまりWindowsはMacのパクリだからMacはパスなしでログインできても構わないと
さすが西海岸の味w ■ このスレッドは過去ログ倉庫に格納されています
