【脆弱性】MacOS High Sierra、パスワード無しでログイン可能

最新10レス
1番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 11:56:46.67 ID:HlwuwDHw

非常にまずいことになっている。最新版のHigh Sierra ? 10.13.1 (17B48)を搭載したMacに誰でもログインできる。ユーザー名のフィールドに"root"と打ち込むだけでいい。これは大問題だ。Appleは数時間のうちにもバグを修正するはずだが...よく聞いていただきたい。このバグが修正されるまでは絶対にMacを放置しておいてはいけない。

このバグは設定から簡単にアクセスできる。ユーザーがセキュリティーとプライバシーなど設定の重要な部分を変更しようとしたときに開いてユーザー名とパスワードを打ち込む場所だ。

ハッキングもなにもない。ユーザー名の代わりに "root"とタイプするだけでいい。 パスワードには何も入れる必要はない。ログインボタンを何度かクリックするでログインできる。ただしMacのユーザーはこれを自分のマシンで実験してはいけない。"root"アカウントを作成することになり、その後すぐに削除するのでなければ、悪意ある第三者を利することになる。

このバグを発見したのは Software Craftsman Turkeyのファウンダー、Lemi Orhan Erginのようで、Twitterでこのことを警告した。

繰り返す必要もないだろうが、これは最悪のバグだ。ログインに成功してしまえば後はマシンのオーナーとして何でもできる。管理者を追加する、セキュリティーの設定を変える、本来のオーナーを締め出す、とやりたい放題だ。バグが修正されるまでMacを目の届かないところに置いてはならない。

われわれが実験したところではどのパネルからでもユーザー名を入力する窓であれば"root"と打ち込みさえすればMacは即座に新しいシステム管理者アカウントを作成するようだ。ただし10.13(17A365)マシンでは動作しない。しかしこちらには各種のつまらぬプレインストールソフトが入っていて悪さをする可能性がある。

当面の対策としては"root"でログインし、なんでもいいからパスワードを設定しておくのがよいだろう。しかしやはり安全なのは誰が触るかわからないような環境にデバイスを放置しないことだ。

われわれはAppleにコメントを求めているが、向こうでも大忙しだろうと思う。進展があればすぐにフォローする。ともあれMacを放置しないよう。

ソース

macOS High Sierraに「最悪のバグ」、パスワードなしでログイン可能 - Engadget 日本版
http://japanese.engadget.com/2017/11/28/macos-high-sierra/

2番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:05:22.42 ID:+QRtqZK5

AppleにしてもMSにしてもGoogleにしてもAmazonにしても、
アップデートなんてすぐに手を出すべきじゃないな
新製品にしても飛びついてはいけない
人柱が全滅してから着手しても遅くはないし
何ならモデル末期や枯れたOSを狙うほうがマシだったりもする
ITおじさんが30年かけて学んだことだ

3番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:06:02.65 ID:ka/bsxMk

アホすww

4番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:06:38.14 ID:ka/bsxMk

アップルのことね

5番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:08:22.25 ID:+QRtqZK5

Appleらしい心温まるエピソードがまた1つ増えたな
心温まるというか心臓の動悸が高まるというかw

6番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:13:49.68 ID:bOaFxgT7

macはウイルスは大丈夫

7番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 12:17:51.47 ID:+QRtqZK5

ウイルスに相手にされてないっちゃされてないが
肝心のOSがrootって打ち込んでEnter押しまくるだけで乗っ取れるなら
遠隔でも余裕で乗っ取れるだろw

8番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 13:16:33.21 ID:0rcJHH4R

平日昼間にしか連投しない糞知ったかニートジジイ

9番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 13:32:42.63 ID:OnNFTl3t

もうやる気ないんじゃね
ジョブスが亡くなってからグダグダ杉

10番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 13:36:40.22 ID:+QRtqZK5

>>8
レッテル貼り乙
俺を知ってるやつなら俺が午後10〜12時に連投したり
早朝6〜時に連投したりしてるのを必ず知ってる
一切書き込まない平日もある
大元は投資系板で暴れたりもしてたしな

11番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 13:52:15.03 ID:HAJqmM+K

こんなことってマジであるんだな

12番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 13:58:58.61 ID:+QRtqZK5

AppleからもGoogleからもまともな技術者が減ってるんだろ
年収16万ドルくらいじゃ人材確保しきれんだろ

13番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 14:13:41.44 ID:6PIhWMB3

10.9でメイン止めてる
ほかも10.13
high Sierra とか地雷なんか入れらるかよ
ホントAppleは最近クソ

14番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 14:16:53.66 ID:+QRtqZK5

当然だよな

15番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 14:21:05.88 ID:9bSf6ZxX

High Sierraなんてアップデートとも言えないしどうでもいい
Sierra入れたiPad出してくれたほうがまだ買うわ

16番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 14:32:29.83 ID:+QRtqZK5

iPad 24〜27インチ
Mac Pad 10-14インチあたりが
今後のAppleに望むこと
iMac Proはアリだ

だが、iPhone Xのように「初物」は絶対駄目だな
いっつも駄目なんだ、Appleの初物は

17番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 17:01:22.14 ID:+TA2gPZW

rootにパスワードを設定しないこと自体どうかと思うけど
こんな一番最初に気が付くであろうバグに気が付かなかったのは笑う

18番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 18:58:51.91 ID:5cB/NGEQ

動画を見る限りこんな流れかな?
・rootは無効化してたのでパスワードがブランクになってた
・1回めの「ロックを解除」でバグでrootが有効化、パスワードはブランクのまま
・2回めの「ロックを解除」でrootでログインできることを確認

19番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 19:06:42.98 ID:fRa1dDlM

一昔前の個人用のマシンは特権ユーザーで自動ログインな奴ゴロゴロいたよね
それを思えば大したことないよ

20番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 19:14:33.60 ID:oAhCVaOD

持ち主本人のパスワードを勝手に変更してログインできなくすることも可能とかニュースで言ってたけど持ち主本人もrootでログインできるよな

21番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 19:17:58.58 ID:FNfO5Wal

>>20
rootのパスワード変えちゃえばいいんじゃないか

22番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 19:25:16.60 ID:oAhCVaOD

>>21
そうなら大騒ぎしなくてもバグ対策自分ですぐできるやん

23番組の途中ですがアフィサイトへの転載は禁止です:2017/11/29(水) 19:36:18.73 ID:b4J7vS4M

自分でrootパス書き換える前に書き換えられたらお手上げっつー話やろ? >>1

24番組の途中ですがアフィサイトへの転載は禁止です:2017/11/30(木) 17:39:25.99 ID:BdpPAqIl

パッチが出たみたいだな
致命的な問題だし当然か

25番組の途中ですがアフィサイトへの転載は禁止です:2017/11/30(木) 17:48:35.79 ID:EftJUSqz

>>24
やっと出たかw

26番組の途中ですがアフィサイトへの転載は禁止です:2017/12/01(金) 08:37:04.38 ID:VXwYPdSM

>>1 パッチ登場・・・でも

macOS High Sierra脆弱性パッチに別の不具合、ファイル共有できなくなる恐れ。ただし修正は簡単 - Engadget 日本版
http://japanese.engadget.com/2017/11/30/macos-high-sierra/

macOS High Sierraにみつかった"パスワード無しで管理者ログインできてしまうバグ"は、問題の重大さ加減からか、アップルにしては以外な素早さでパッチが用意され、自動アップデートとして配布されました。したがって、気づいたらすでにパッチが当たっていたという人も多かったと思われます。

一方で、パッチを適用したMacにおいて、ファイル共有機能の認証や接続ができなくなったという報告が一部のユーザーからあがっています。すべてのユーザーが影響を受けているわけではないものの、他のPCとの間でファイル共有をしていた人は、これまでと同様にファイルにアクセスできない場合があります。

幸いにも、この問題は少しの手順で修正できることをApple Insiderが伝えています。その手順は以下の通り。

1.「アプリケーション」~「ユーティリティ」フォルダ内にある「ターミナル.app」を開く。
2. sudo /usr/libexec/configureLocalKDC を実行する
3.管理者用パスワードを入力する
4.ターミナルを終了する。

今回のファイル共有の問題がどのくらいの規模で発生しているのかはわかっていません。またアップルは"パスワードなしで管理者ログイン"の脆弱性が発覚した際、これまでになく素早い対応を見せたものの、その素早い対応が引き連れてきたこんどの不具合については、修正プログラムが提供されるかどうかはわかりません。

もし、ファイル共有がこれまでどおり使えなくなっていたら、まず一度、上の手順を実行してみることをおすすめします。

27番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:26:48.32 ID:6QgKNhG0

流石にないだろうけど
この調子だとデスクトップのシェアでLinuxに逆転されるかもと思ってしまう

28番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:36:32.08 ID:J8Hvs8FC

むしろもっと早くLinuxがライトユーザーの間に入り込むべきだった

29番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:38:11.61 ID:IsdB8IgU

>>28
Ubuntuには期待してたけどな
半年ごとの600MBアップデートが面倒くさかった

30番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:39:43.29 ID:w9zhpLg8

MacとLinuxだったら、デスクトップと言う意味でならMacのほうが便利だとは思うが
Androidやサーバや電子工作系なんかだとLinuxが圧倒的に優位なんじゃないの
Linuxはライトユーザーはさほど狙ってないようにも思うけどな、どのディストリビューションも

それにしても今回は往年のAppleを彷彿させる杜撰さだな

31番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:42:04.51 ID:w9zhpLg8

>>29
WindowsやMacみたいなLinuxを作ると、結局そうなるだけだしな
Arch Linuxみたいなのでいいよ

32番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 11:54:55.18 ID:J8Hvs8FC

しかしライトユーザーのやりたいことって変わらんのよな
スマホみたいなエサを与えられるだけのOSを有難がって使い続けるくらいだし
ライト向けに超特化させてUIを見た目クールにして上手な広告を打てば市場が注目して一斉に流行らんかな
要はソフトウェアと周辺機器が対応さえすればいい

正直Appleは今のiOSに固着的な状態が続くとやばいと思う

33番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 17:08:07.36 ID:6QgKNhG0

LinuxだとMacと違ってマシンもディストロも選択肢が多いからライトユーザーには辛い
自分に合ったものを見つけられれば快適だろうけど

34番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 17:20:02.26 ID:w9zhpLg8

今いるライトユーザーなんてOSを意識することはないんじゃないの
日本なら天気予報と芸能ニュースとインスタとLINEがあればそれで良いってユーザーが大半だろう

AppleはiOSでもMacOSでもやらかしてて
毎度おなじみだなって感じしか思わない
そしてライトユーザーは個人情報が漏れても何も思わない

35番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 17:27:25.66 ID:/e2pmVma

天気予報と芸能ニュースとインスタとLINEがあればそれで良いってユーザーは携帯で用が済むから
ラップトップとかデスクトップとか買わない

36番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 17:29:57.51 ID:w9zhpLg8

だからノートPCもデスクトップPCも売れてないじゃん
受信型人間ばっかりになった、インターネットの意味ねえな
ファーウェイの今回のMate10は外部出力可能なんだっけ
もうチョイでスマホも使えるアイテムになるかもしれんがなあ

37番組の途中ですがアフィサイトへの転載は禁止です:2017/12/02(土) 17:40:27.85 ID:w9zhpLg8

Mate10のPC Modeの次世代版に期待かな

38番組の途中ですがアフィサイトへの転載は禁止です:2017/12/03(日) 13:58:30.08 ID:pliIT3e6

使いやすさなら見た目や新機能よりもバグの少なさや強固なセキュリティを優先すべきだろう

39番組の途中ですがアフィサイトへの転載は禁止です:2017/12/04(月) 00:04:15.11 ID:hMSZe/G5

バグがありませんじゃ売れないからな

このスレッドは過去ログです。