【私も今試したらできたんだけど…気をつけて】アップル、「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性

**ミエルミエル ★** · 2017/11/29(水) 18:02:30.39

「ｍacOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。

　端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。

　「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。

https://twitter.com/lemiorhan/status/935578694541770752

米CNETは、このセキュリティ脆弱性の存在を独自に確認した。
https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif

　「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。
　https://support.apple.com/ja-jp/HT204012

　Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、『ルートパスワードを変更する』の項目にある手順に従ってほしい」とした。

　このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。

　Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。

　電子フロンティア財団（EFF）のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。

配信2017年11月29日 07時50分
CNET Japan
https://japan.cnet.com/article/35111084/

**名無しさん＠１周年** · 2017/11/30(木) 00:22:03.08

>>93
むしろコマンドプロンプトなくなれや
って思ってたらサブシステムでLinux使えるようになってたから
そのうちシェルしか無くなるかもしれん

**名無しさん＠１周年** · 2017/11/30(木) 00:59:11.66

まさか root のパスワードがゼロ桁とは思わないから，
クラックしようとしたハッカーは10桁とか20桁とか，長い
パスワードを延々と試しただろうな。

しかしまさかの正解は何も入力しないことだったとは。
これは精神的にやられるわ。

ある意味，究極の攻性防御だね。
さすがアップルはすごいわ。

**名無しさん＠１周年** · 2017/11/30(木) 01:11:45.39

社内にスパイがいるんじゃね

**名無しさん＠１周年** · 2017/11/30(木) 01:22:02.78

だれでもできるハッキングサービス、始めました

**名無しさん＠１周年** · 2017/11/30(木) 03:04:35.34

これがマカーの言う「最強のセキュリティ」ですねｗｗｗ

**名無しさん＠１周年** · 2017/11/30(木) 08:27:19.31

廃止エラって韓国人キラーかなにか？

**名無しさん＠１周年** · 2017/11/30(木) 08:37:36.87

そもそもwinよりmacの方が脆弱性発見数多いからな

**名無しさん＠１周年** · 2017/11/30(木) 11:56:23.71

>>101
単に使ってる奴がアホほど少ないから攻撃されないってだけの話だしね
シェアは６％くらいになってたよな

**名無しさん＠１周年** · 2017/11/30(木) 12:02:32.33

１０月のOSシェア

そのうちLinuxにも抜かれるな

1 Windows 90.77%
2 Mac 6.25%
3 Linux 2.98%

https://news.mynavi.jp/article/20171103-a052/

**名無しさん＠１周年** · 2017/11/30(木) 12:05:49.84

>>94
これだよな。
そもそもPCに入られてからの問題だし。

デモで公開してたり他人に貸してたらヤバいけどさ。

**名無しさん＠１周年** · 2017/11/30(木) 12:09:52.94

もしこれがアポー採用だったとしたら背筋が凍るな

米陸軍が堅牢仕様のWindows 10タブレット約1万台を調達
https://japan.zdnet.com/article/35098637/

**名無しさん＠１周年** · 2017/11/30(木) 12:15:59.80

OSばかり進化してってアプリが追いつかないでござる

**名無しさん＠１周年** · 2017/11/30(木) 12:17:46.46

>>66
ユーザーが少ないってことだろ

**名無しさん＠１周年** · 2017/11/30(木) 12:19:24.17

人間には管理しきれなくなってんだろう
AIに任せられるまで辛抱だが、その時はその時でまた別な不安があるな

**名無しさん＠１周年** · 2017/11/30(木) 12:20:19.23

信仰心が試されるときです。
敬虔な信徒たちよ、はやく他社osの罵倒でスレを埋めるのです。

**名無しさん＠１周年** · 2017/11/30(木) 12:39:51.09

>>96
ばか？

**名無しさん＠１周年** · 2017/11/30(木) 12:46:52.75

いやもうセキュリティアップデートでたよ

もともとゲストオフだしルート無効だし
ログイン後にコンパネの鍵外しにrootなんて死んでも思いつかないし

普通にログイン後に後ろから襲われて死ぬか気を失ってる間の犯人のためのroot確保でしか意味ないし

そんな深刻なバグでもないさー

だいたいログインパスワードの利用率も最近だろ上がってきたのそもそも

**名無しさん＠１周年** · 2017/11/30(木) 12:47:28.91

実害がほとんどないから伸びないね

**名無しさん＠１周年** · 2017/11/30(木) 12:53:43.20

>>112
実害が無いことにしたい熱心な信者ｗ

**名無しさん＠１周年** · 2017/11/30(木) 12:54:55.72

>>113
じゃ、実害例言ってみ。

**名無しさん＠１周年** · 2017/11/30(木) 12:58:15.74

>>114
ログインしたまま席を外したらもう終わりだなｗ

**名無しさん＠１周年** · 2017/11/30(木) 12:59:16.90

>>113
あぁ、あれか。

エロ画像溜めたフォルダを自分用につくってて、他の家族にroot権限でアクセスされるとかか。

そりゃ、大変だな。

**名無しさん＠１周年** · 2017/11/30(木) 12:59:46.97

ソース配布されたそうな
http://www3.nhk.or.jp/news/html/20171130/k10011240961000.html?utm_int=news-new_contents_list-items_018

JP/CERTが一番頼りになるな
と持ち上げておく

**名無しさん＠１周年** · 2017/11/30(木) 13:00:15.76

>>115
…。
それ、rootになられる以前の問題だろ。

**名無しさん＠１周年** · 2017/11/30(木) 13:00:44.10

何だよ　シナIPカメラ見たいな糞仕様はｗｗｗ

**名無しさん＠１周年** · 2017/11/30(木) 13:01:03.09

バグが多すぎてUNIXにしたくせに、セキュリティ激甘にするやらかし具合は、さすがアップル

**名無しさん＠１周年** · 2017/11/30(木) 13:02:20.78

>>118
カルトアポー信者終了ｗ

**名無しさん＠１周年** · 2017/11/30(木) 13:08:38.18

>>96
root guest admin adm user password PASSWORD　何も入力しない
他にも幾つかあるお決まりのIDやパスワードの設定あるから知識ある人ほど最初の方に気が付くよ簡単すぎるバグだよこれ

**名無しさん＠１周年** · 2017/11/30(木) 13:11:52.74

20世紀かよ

**名無しさん＠１周年** · 2017/11/30(木) 13:26:41.16

アップルはパスワード嫌いなんじゃないかな？
パスワードかけられたPDFもプレビュー通して書き出せばパスワード外れるし。

**名無しさん＠１周年** · 2017/11/30(木) 14:51:06.71

>>121
で、実害例は？

**名無しさん＠１周年** · 2017/11/30(木) 16:58:14.87

実害ないからなかったことにしたいマカー乙

**名無しさん＠１周年** · 2017/11/30(木) 19:09:46.97

>>122
市販の無線ルーターの工場出荷時のパスワード設定は一通り試すよね
てかハックツールが勝手に試すよね

**名無しさん＠１周年** · 2017/11/30(木) 19:16:37.28

実害
会社でワイヤーロックしておいてあるPCを操作される

想定される被害
・就業時間後の警備員にデータを転送される
・勝手にディスクを暗号化されて金を強請られる
・バックドアしかけられる

つかまぁワーム、ウイルスの類がやることを単に警備会社に就職して夜勤するだけでできてしまう
各々は他に防ぐ手段はあるけど容易な入り口を開けていることが問題だな

金庫に全ての貴重品を入れているからって、家の鍵を開けたままにするのは良くない

**名無しさん＠１周年** · 2017/11/30(木) 19:18:20.93

電気屋で展示してるMacが荒らされるのか

**名無しさん＠１周年** · 2017/11/30(木) 23:08:42.81

アップデート適用してもこのバグが治ってないってホント？

**名無しさん＠１周年** · 2017/12/01(金) 08:15:10.83

アホのアポー

**名無しさん＠１周年** · 2017/12/01(金) 09:09:08.89

ユーザー管理が実質無効になるんだから企業だと大問題だわな。まあ仕事でMacを使うほうが悪いのかもしれんが。

Windowsでこんなことあったら盛大な祭り状態だろなあ。

**名無しさん＠１周年** · 2017/12/01(金) 09:12:32.10

>>49
モナーOSとかいうのがあったと聞く

**名無しさん＠１周年** · 2017/12/01(金) 10:22:20.05

>>73
それな

**名無しさん＠１周年** · 2017/12/01(金) 10:25:37.39

>>1
誰も訪問しない自宅のユーザーが使うルーターですか？Macは

**名無しさん＠１周年** · 2017/12/01(金) 10:28:12.88

>>25
これ

**名無しさん＠１周年** · 2017/12/01(金) 10:28:13.93

どこでもMy Mac with だれでも Root

**名無しさん＠１周年** · 2017/12/01(金) 11:38:23.52

Appleは革新的な企業ってことを忘れてないか？
これは従来のパスワードに縛られるユーザーを解放したに過ぎない。
それを脆弱性だとか言う奴はApple製品を持つに値しないね。
そんなにパスワードが好きならWindowsでも使えば？

**名無しさん＠１周年** · 2017/12/01(金) 11:50:13.39

優秀なエンジニアは全員Microsoftに行っちゃった
なので今のAppleには糞OSしか作れません

**名無しさん＠１周年** · 2017/12/01(金) 12:03:11.37

>>20
>>81
なんか

　Windows 自民党
　macOS ミンス

みたいだよなぁ

**名無しさん＠１周年** · 2017/12/01(金) 21:07:29.43

代表者がホモだからな
まともなOSなんか作れる訳がない
ゾンビ集団みたいなもんだろ

**名無しさん＠１周年** · 2017/12/02(土) 13:14:13.16

今時Apple製品を使うのは情弱or強がり

**名無しさん＠１周年** · 2017/12/02(土) 13:42:04.01

admin
admin

**名無しさん＠１周年** · 2017/12/03(日) 01:01:22.92

macOSX出てからずいぶん経つけど
大して変わってないよな
特に猫科じゃなくなってからは
何が変わったのかわからん

**名無しさん＠１周年** · 2017/12/03(日) 05:16:54.27

>>140
それはmacOSにさすがに失礼すぎるわw