【私も今試したらできたんだけど…気をつけて】アップル、「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
■ このスレッドは過去ログ倉庫に格納されています
「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。
https://twitter.com/lemiorhan/status/935578694541770752
米CNETは、このセキュリティ脆弱性の存在を独自に確認した。
https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif
「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。
https://support.apple.com/ja-jp/HT204012
Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、『ルートパスワードを変更する』の項目にある手順に従ってほしい」とした。
このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。
Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。
電子フロンティア財団(EFF)のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。
配信2017年11月29日 07時50分
CNET Japan
https://japan.cnet.com/article/35111084/ Apple社の製品を使用する奴は非国民。
真の大和民族は日本人が発明し日本人が設計し国産の原材料で日本人の労働者によって生産され国内だけに流通している商品しか使用しない。
夷狄の手で生まれたものを使用する不潔野郎は反日売国奴だから日本から消えろ。
Apple社は朝鮮企業。スティーブジョブズは通名。本名は捨正日。
Apple社のロゴは太極旗。
Apple社の製品を使用している奴 は反日売国奴だから日本から去ね。 記者のMac機器で試したところ、記事の方法でパスワード入力なしでロック解除できました
みなさんも気をつけてください >>5
お前の名称は只の「立て子」だ。せいぜいコピペ人が良いか所だ
あと、スレタイに余計な文言入れるな。
水虫レベルに堕ちたいか? ktのバックドアみたいなものの超簡易版が
Appleの技術者によって作られていたわけか NHKも実験→できた
JTCERT→まだ修正プログラムの配布はない
こんな簡単なエラーはなかなか無い Appleの製品って、プログラマの技術力は高くても
テスターがへっぽこぞろいな感じ >>16
というか海外のソフトは大体そのイメージある
テストしてないんじゃないかと思えるソフトもよく見かける windows10がどんだけ優秀なOSかわかるスレ Macは安全です
よってこの情報が誤りです
信じる者は救われる ログインというのかこれ?
まず適当なユーザでログインしていることが前提だよね?
そこからroot権限ゲットできる しかしrootに対してパスワードがデフォルト状態というのは軽率だったかなあ… scott/tiger
勢いないのは信者の得の高さかな ん?あれ。
マックは押し付けアップルデートだから、これ拝師えらーにアップルデートするとルートパスワードが解除される、ということなんじゃないの? いつも3つくらい前のを使ってるからこういうのには無縁ヽ(´ー`)ノ パスワードは空のままにすることができる・・・UNIXとしてあり得ない 名前がマウントハイシェラなのにこのハードルの低さよww >>3
windowsでもあったし、
毎回恒例なので
わざとです。 >ユーザー名に「root」と入力し、パスワードは空のまま
( ´D`)ノ<水牛の無線ルータ設定かよ。 これって開発中に使ってたのが、うっかり残ってたのかな
そうならテストをどうやってやってたんだ、って話になるのではw アホOSって絶対サンデープログラマーが作ってるんだろ?
前も考えられないバグ出してるし
【話題】iOS7.0.6は前代未聞の深刻なバグ対策!iPhoneユーザーは至急アップデートを!
http://uni.2ch.net/test/read.cgi/newsplus/1393234976/
Wiredによると、暗号学の専門家である米ジョンズ・ホプキンス大学のMatthewGreen教授はバグの
正体を見つけ、「アップルのバグがわかった。これはひどい。本当にひどい」とツイートしました。
Googleの暗号の専門家、Adam Langley氏もAppleが公開しているソースコードを分析し、
バグの正体はプログラミングを学んだ者なら誰でもすぐに気付くであろう内容と発表しています。
> 「アップルのバグがわかった。これはひどい。本当にひどい」
> バグの正体はプログラミングを学んだ者なら誰でもすぐに気付くであろう内容と発表しています。 セキュリティも一周回って、ロックしない方向にきたのか⁈ >>44
外車や機械時計みたいにそこがかわいい、味がある、みたいな >ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
Windows2000以下やんけ(´・ω・`) >>39
サンデープログラマがOS作れる訳ないだろ馬鹿 Macのプログラムもやるが、ここって結構クリティカルなところも
見境なく変更しまくるし、周知もしないからOSアップの度に酷い目にあわされる。
アップル内部はどうなんだろって疑問だったけど、立て続けに致命的なアホバグ
連発してるから、やっぱ内部でも統制取れてなさそうやね。
サードパーティーは、よほど大きな餌がないと付き合いきれんと思うわ。 >>51
それってクリティカルな部分を修正しているのではなく
単にデグレードを繰り返しているだけなんじゃないの?
gitから最新ソースを取り込んで、そのまま出荷。
スクリプトの検査もせず「無償OS」だから「責任免除」
真面目にテストしていないだろう >>11
Intelが入った時点でもはや「Mac」ではない >>56
自社開発のARM搭載ならハードウェアとしての面白みもあるけど、今はPC/AT互換機だしね でもリンゴのマークが付くだけで、
ダブルスコアの単価で売れる。 昔のMacはHDDにパスワードがかかっててもフロッピーディスクで起動してアクセスできた キーボード使うのも面倒くさがり屋のマカーにはこれで良い こんなすごい欠陥よくそのままにして発売したなこのアップルのOS
ひどすぎるだろユーザー名に「root」っていれれば誰でもログインできる仕様って てか今まで誰も気がつかなかったのが凄い、信心の極みだな iphoneアプリ作る用途以外でmacはイラネって所か
ゴキブリと一緒でバグ一個あると他も疑わしくなるわ iphoneの電源の位置が上から横に変わった時点でもはやダメだと思うは
ジョブズ亡くなると正常な判断がなんもできないんかと ところでデフォルトのユーザー名って
無線LANとかでもそうだだけど
なんで「root」なの? マウスのライトニングケーブルコネクターを下面にした無能はクビにしていい。 最新のiPhone Xの韓国製有機ELディスプレイは不具合出過ぎだろ
どうせ中身も韓国製と中国製だらけなんだろ
最新のiOS11の不具合も酷過ぎだしな 何だかんだでソウトウエアはやっぱりMicrosoftだよね
基礎研究に投資してる企業は違う >>69
UNIX系のOSの管理者のユーザー名が伝統的にrootだからだろう >>55
うん、正直なんでここ触るかなってところが結構ある
経緯とかよくわかってない連中が触ってるような気もする
理由がわかるのもあるけど、それならそれでもっと情報出せとw てかユーチューバーって何でApple製品や韓国製品をひたすらマンセーしてる奴が多くね?
いくらゼニが欲しいからって魂売り過ぎだろ CrackMeテストで2万時間を達成してLinuxを超えたと評判のOSだったのにな。
ちなみにWindowsは0.1秒でクラックされたそうだ。 ちょうどパワーマック注文したとこだが、今気付いてくれて良かったわw 以前、MacOSはrootのいない特権モデルに移行したと聞いていたんだが
うそだったか >>1
しゃれにならんな。WindowsでこんなことがあったらMSが傾くまで叩きまくられるだろ。 >>69
rootの名前の変え方を知らないのにUNIXを使ったシステムや製品を売り出すからだろう。 何日か前にインストールしようと思ったんだけど
『このボリュームにレガシーFileVaultユーザーがいるため、インストールできません』
とか抜かしやがる
どうすんるんだ、これ…… unixベースなんでしょmacって
なんでこんなことがおこるのか macなんて使ってるからだ
最近研究者でもlinuxよりmacの方が便利なんて頭悪い発言する奴が増えてきたが
せめてlinuxとunixの違いをググってから言えと
bsd嫌い 俺はLinuxが嫌いだな
独自のコマンドで互換性なくして独自色を見せかけたり、ネットワーク負荷に弱かったり。 まあそれほど騒ぐものでもないんじゃね
人にPC触らせてる時点でアウトやろ >>93
むしろコマンドプロンプトなくなれや
って思ってたらサブシステムでLinux使えるようになってたから
そのうちシェルしか無くなるかもしれん まさか root のパスワードがゼロ桁とは思わないから,
クラックしようとしたハッカーは10桁とか20桁とか,長い
パスワードを延々と試しただろうな。
しかしまさかの正解は何も入力しないことだったとは。
これは精神的にやられるわ。
ある意味,究極の攻性防御だね。
さすがアップルはすごいわ。 これがマカーの言う「最強のセキュリティ」ですねwww そもそもwinよりmacの方が脆弱性発見数多いからな >>101
単に使ってる奴がアホほど少ないから攻撃されないってだけの話だしね
シェアは6%くらいになってたよな 10月のOSシェア
そのうちLinuxにも抜かれるな
1 Windows 90.77%
2 Mac 6.25%
3 Linux 2.98%
https://news.mynavi.jp/article/20171103-a052/ >>94
これだよな。
そもそもPCに入られてからの問題だし。
デモで公開してたり他人に貸してたらヤバいけどさ。 もしこれがアポー採用だったとしたら背筋が凍るな
米陸軍が堅牢仕様のWindows 10タブレット約1万台を調達
https://japan.zdnet.com/article/35098637/ OSばかり進化してってアプリが追いつかないでござる 人間には管理しきれなくなってんだろう
AIに任せられるまで辛抱だが、その時はその時でまた別な不安があるな 信仰心が試されるときです。
敬虔な信徒たちよ、はやく他社osの罵倒でスレを埋めるのです。 いやもう セキュリティアップデートでたよ
もともとゲストオフだしルート無効だし
ログイン後にコンパネの鍵外しにrootなんて死んでも思いつかないし
普通にログイン後に後ろから襲われて死ぬか気を失ってる間の犯人のためのroot確保でしか 意味ないし
そんな深刻なバグでもないさー
だいたいログインパスワードの利用率も最近だろ上がってきたの そもそも >>114
ログインしたまま席を外したらもう終わりだなw >>113
あぁ、あれか。
エロ画像溜めたフォルダを自分用につくってて、他の家族にroot権限でアクセスされるとかか。
そりゃ、大変だな。 >>115
…。
それ、rootになられる以前の問題だろ。 バグが多すぎてUNIXにしたくせに、セキュリティ激甘にするやらかし具合は、さすがアップル >>96
root guest admin adm user password PASSWORD 何も入力しない
他にも幾つかあるお決まりのIDやパスワードの設定あるから知識ある人ほど最初の方に気が付くよ簡単すぎるバグだよこれ アップルはパスワード嫌いなんじゃないかな?
パスワードかけられたPDFもプレビュー通して書き出せばパスワード外れるし。 >>122
市販の無線ルーターの工場出荷時のパスワード設定は一通り試すよね
てかハックツールが勝手に試すよね 実害
会社でワイヤーロックしておいてあるPCを操作される
想定される被害
・就業時間後の警備員にデータを転送される
・勝手にディスクを暗号化されて金を強請られる
・バックドアしかけられる
つかまぁワーム、ウイルスの類がやることを単に警備会社に就職して夜勤するだけでできてしまう
各々は他に防ぐ手段はあるけど容易な入り口を開けていることが問題だな
金庫に全ての貴重品を入れているからって、家の鍵を開けたままにするのは良くない アップデート適用してもこのバグが治ってないってホント? ユーザー管理が実質無効になるんだから企業だと大問題だわな。まあ仕事でMacを使うほうが悪いのかもしれんが。
Windowsでこんなことあったら盛大な祭り状態だろなあ。 >>1
誰も訪問しない自宅のユーザーが使うルーターですか?Macは どこでもMy Mac with だれでも Root Appleは革新的な企業ってことを忘れてないか?
これは従来のパスワードに縛られるユーザーを解放したに過ぎない。
それを脆弱性だとか言う奴はApple製品を持つに値しないね。
そんなにパスワードが好きならWindowsでも使えば? 優秀なエンジニアは全員Microsoftに行っちゃった
なので今のAppleには糞OSしか作れません >>20
>>81
なんか
Windows 自民党
macOS ミンス
みたいだよなぁ 代表者がホモだからな
まともなOSなんか作れる訳がない
ゾンビ集団みたいなもんだろ macOSX出てからずいぶん経つけど
大して変わってないよな
特に猫科じゃなくなってからは
何が変わったのかわからん >>140
それはmacOSにさすがに失礼すぎるわw ■ このスレッドは過去ログ倉庫に格納されています