【私も今試したらできたんだけど…気をつけて】アップル、「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
■ このスレッドは過去ログ倉庫に格納されています
「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。
https://twitter.com/lemiorhan/status/935578694541770752
米CNETは、このセキュリティ脆弱性の存在を独自に確認した。
https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif
「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。
https://support.apple.com/ja-jp/HT204012
Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、『ルートパスワードを変更する』の項目にある手順に従ってほしい」とした。
このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。
Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。
電子フロンティア財団(EFF)のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。
配信2017年11月29日 07時50分
CNET Japan
https://japan.cnet.com/article/35111084/ >>93
むしろコマンドプロンプトなくなれや
って思ってたらサブシステムでLinux使えるようになってたから
そのうちシェルしか無くなるかもしれん まさか root のパスワードがゼロ桁とは思わないから,
クラックしようとしたハッカーは10桁とか20桁とか,長い
パスワードを延々と試しただろうな。
しかしまさかの正解は何も入力しないことだったとは。
これは精神的にやられるわ。
ある意味,究極の攻性防御だね。
さすがアップルはすごいわ。 これがマカーの言う「最強のセキュリティ」ですねwww そもそもwinよりmacの方が脆弱性発見数多いからな >>101
単に使ってる奴がアホほど少ないから攻撃されないってだけの話だしね
シェアは6%くらいになってたよな 10月のOSシェア
そのうちLinuxにも抜かれるな
1 Windows 90.77%
2 Mac 6.25%
3 Linux 2.98%
https://news.mynavi.jp/article/20171103-a052/ >>94
これだよな。
そもそもPCに入られてからの問題だし。
デモで公開してたり他人に貸してたらヤバいけどさ。 もしこれがアポー採用だったとしたら背筋が凍るな
米陸軍が堅牢仕様のWindows 10タブレット約1万台を調達
https://japan.zdnet.com/article/35098637/ OSばかり進化してってアプリが追いつかないでござる 人間には管理しきれなくなってんだろう
AIに任せられるまで辛抱だが、その時はその時でまた別な不安があるな 信仰心が試されるときです。
敬虔な信徒たちよ、はやく他社osの罵倒でスレを埋めるのです。 いやもう セキュリティアップデートでたよ
もともとゲストオフだしルート無効だし
ログイン後にコンパネの鍵外しにrootなんて死んでも思いつかないし
普通にログイン後に後ろから襲われて死ぬか気を失ってる間の犯人のためのroot確保でしか 意味ないし
そんな深刻なバグでもないさー
だいたいログインパスワードの利用率も最近だろ上がってきたの そもそも >>114
ログインしたまま席を外したらもう終わりだなw >>113
あぁ、あれか。
エロ画像溜めたフォルダを自分用につくってて、他の家族にroot権限でアクセスされるとかか。
そりゃ、大変だな。 >>115
…。
それ、rootになられる以前の問題だろ。 バグが多すぎてUNIXにしたくせに、セキュリティ激甘にするやらかし具合は、さすがアップル >>96
root guest admin adm user password PASSWORD 何も入力しない
他にも幾つかあるお決まりのIDやパスワードの設定あるから知識ある人ほど最初の方に気が付くよ簡単すぎるバグだよこれ アップルはパスワード嫌いなんじゃないかな?
パスワードかけられたPDFもプレビュー通して書き出せばパスワード外れるし。 >>122
市販の無線ルーターの工場出荷時のパスワード設定は一通り試すよね
てかハックツールが勝手に試すよね 実害
会社でワイヤーロックしておいてあるPCを操作される
想定される被害
・就業時間後の警備員にデータを転送される
・勝手にディスクを暗号化されて金を強請られる
・バックドアしかけられる
つかまぁワーム、ウイルスの類がやることを単に警備会社に就職して夜勤するだけでできてしまう
各々は他に防ぐ手段はあるけど容易な入り口を開けていることが問題だな
金庫に全ての貴重品を入れているからって、家の鍵を開けたままにするのは良くない アップデート適用してもこのバグが治ってないってホント? ユーザー管理が実質無効になるんだから企業だと大問題だわな。まあ仕事でMacを使うほうが悪いのかもしれんが。
Windowsでこんなことあったら盛大な祭り状態だろなあ。 >>1
誰も訪問しない自宅のユーザーが使うルーターですか?Macは どこでもMy Mac with だれでも Root Appleは革新的な企業ってことを忘れてないか?
これは従来のパスワードに縛られるユーザーを解放したに過ぎない。
それを脆弱性だとか言う奴はApple製品を持つに値しないね。
そんなにパスワードが好きならWindowsでも使えば? 優秀なエンジニアは全員Microsoftに行っちゃった
なので今のAppleには糞OSしか作れません >>20
>>81
なんか
Windows 自民党
macOS ミンス
みたいだよなぁ 代表者がホモだからな
まともなOSなんか作れる訳がない
ゾンビ集団みたいなもんだろ macOSX出てからずいぶん経つけど
大して変わってないよな
特に猫科じゃなくなってからは
何が変わったのかわからん >>140
それはmacOSにさすがに失礼すぎるわw ■ このスレッドは過去ログ倉庫に格納されています