macOS High Sierraをご利用の方はご注意を・・・
PC Watchの記事に、 macOS High Sierraにパスワードなしで管理者になれる脆弱性 てのがありました。
macOS High Sierraのバージョン10.13.1に、ユーザーのパスワード入力することなく簡単にルートユーザーになれてしまうバグが発見されたそうです。記事によると・・・
このバグの再現は非常に簡単だ。たとえば「システム環境設定」の「ユーザとグループ」の画面で、デフォルトでは一部設定がグレーアウトして変更できず、画面下にある「変更するにはカギをクリックします。」をクリックする必要がある。ここで本来、ユーザーのパスワードを入力しなければならないが、ユーザー名に「root」と入力しパスワードを空欄のまま、「ロックを解除」をクリックすると、ルートユーザーが有効になってしまい、項目が変更できるようになってしまう。「日付と時刻」の設定画面でも同じだ。
だそうです。詳細は記事に譲りますが、通常この手の「脆弱性」は再現に専門知識が必要だったり、攻撃対象が限定されたりすることが多いのですが、今回の「バグ」は上記の通り操作するだけで誰でも簡単に再現できてしまうものです。
記事にもある通り、リモートで実行できるものではなく、直接アクセスできなければ悪用されることはないのですが、管理者アカウントにアクセスできてしまえば、Macに新しいユーザーアカウントを追加することも可能ですから非常にタチの悪いバグです。
パッチが提供されるまでは、ルートユーザーのパスワード変更以外には対応策はないようです。記事をご覧の上、ルートユーザーのパスワード変更をお薦めします。
macOS High Sierraをご利用の方は、充分にご注意くださいね。