0001ミエルミエル ★
2017/11/29(水) 18:02:30.39ID:CAP_USER9端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。
https://twitter.com/lemiorhan/status/935578694541770752
米CNETは、このセキュリティ脆弱性の存在を独自に確認した。
https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif
「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。
https://support.apple.com/ja-jp/HT204012
Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、『ルートパスワードを変更する』の項目にある手順に従ってほしい」とした。
このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。
Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。
電子フロンティア財団(EFF)のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。
配信2017年11月29日 07時50分
CNET Japan
https://japan.cnet.com/article/35111084/