macOS High Sierraの最新バージョンにセキュリティ上の問題があり、悪意ある者が好きなパスワードを使ってMac App Storeの設定を変更できてしまうことがわかりました。
ただしこのバグを突くにはまず管理者権限でのログインが必要。アップルはmacOS 10.13.3の最新ベータ版でこの問題を修正しており、数週のうちには正式なアップデートとして公開されると考えられます。
適当なパスワードでMac App Store設定を変更できるバグ発覚。次回アップデートで修正予定
悪用には管理者レベルの権限が必要
連載
注目記事
日本発宇宙ベンチャー「ispace」 が101.5億円を調達、月面輸送サービス商用化めざす
SIMフリー「Xperia XZ Premium」 x 「nuroモバイル」は本当に安いのか:週刊モバイル通信 石野純也
IQOS、gloより5倍お得な加熱式タバコ「ヴェポライザー」で知っておきたいこと使い方やメンテ術解説(世永玲生)
人気記事
CES2018:スマホだけでなくニンテンドースイッチも使える(?) ノートPC風ドック「Mirabook」が面白い
ローガン・ポールの炎上受けYouTubeがユーザー宛の公開書簡。「ガイドライン違反として対応、経過観察中」
『PUBG』が課金ガチャ正式導入へ。最高レアは排出率0.16%、トレードで一攫千金も
セキュリティ情報サイトのOpen Radarが伝えるように、このバグは管理者レベルのアカウントでログインし、システム環境設定からApp Storeの設定画面で錠前アイコンがロックされている場合、これをクリックすれば好きなパスワードでロック解除ができてしまうという内容。
MacRumorsによると、システム環境設定内の他の項目ではどのようなアカウントを使っても同様の手法が使えず、ユーザーやグループ権限の設定といったより重要な部分は今回のバグの影響を受けないとのこと。
冒頭にも記したとおり、物理的に管理者レベルでアクセスできなければこのバグを突く事はできないため、実質的には大きな問題にはなりにくいかもしれません。ただ、攻撃者がその権限を持っていれば、たとえばわざと脆弱性のあるアプリをインストールしてさらなる悪用に利用される可能性もゼロではありません。
アップルはこの件に関してコメントを出していないものの、次期アップデートに修正が含まれていることから、問題は近いうちに修正される見込みです。
Macは2018年11月に空白パスワードで管理者ログインできてしまうという脆弱性が発覚し「再発防止のために開発プロセスの見直しを実施する」としていました。
