Sponsored Contents

Securityの最新記事

Image credit:
Save

適当なパスワードでMac App Store設定を変更できるバグ発覚。次回アップデートで修正予定

悪用には管理者レベルの権限が必要

Munenori Taniguchi
2018年1月11日, 午後12:55 in Security
189シェア
51
91
0
47

連載

注目記事

人気記事

アップル、iPhoneの意図的な低速化を無効にできるアップデート提供。クックCEOが「誤解を招いたことをお詫び」

アップル、iPhoneの意図的な低速化を無効にできるアップデート提供。クックCEOが「誤解を招いたことをお詫び」

Ittousai, 4 時間前
View
アフリカ・ソマリ族の矢毒から男性向け経口避妊薬を開発。精子活動を抑制する成分のみを合成

アフリカ・ソマリ族の矢毒から男性向け経口避妊薬を開発。精子活動を抑制する成分のみを合成

View
macOS High Sierraの最新バージョンにセキュリティ上の問題があり、悪意ある者が好きなパスワードを使ってMac App Storeの設定を変更できてしまうことがわかりました。

ただしこのバグを突くにはまず管理者権限でのログインが必要。アップルはmacOS 10.13.3の最新ベータ版でこの問題を修正しており、数週のうちには正式なアップデートとして公開されると考えられます。

セキュリティ情報サイトのOpen Radarが伝えるように、このバグは管理者レベルのアカウントでログインし、システム環境設定からApp Storeの設定画面で錠前アイコンがロックされている場合、これをクリックすれば好きなパスワードでロック解除ができてしまうという内容。

MacRumorsによると、システム環境設定内の他の項目ではどのようなアカウントを使っても同様の手法が使えず、ユーザーやグループ権限の設定といったより重要な部分は今回のバグの影響を受けないとのこと。

冒頭にも記したとおり、物理的に管理者レベルでアクセスできなければこのバグを突く事はできないため、実質的には大きな問題にはなりにくいかもしれません。ただ、攻撃者がその権限を持っていれば、たとえばわざと脆弱性のあるアプリをインストールしてさらなる悪用に利用される可能性もゼロではありません。

アップルはこの件に関してコメントを出していないものの、次期アップデートに修正が含まれていることから、問題は近いうちに修正される見込みです。

Macは2018年11月に空白パスワードで管理者ログインできてしまうという脆弱性が発覚し「再発防止のために開発プロセスの見直しを実施する」としていました。

189シェア
51
91
0
47

Sponsored Contents