検索
ニュース

「macOS High Sierra」管理者権限に重大な脆弱性、JPCERTが対策を呼び掛け早急に最新アップデートの適用を

macOS High Sierra 10.13.1に、誰でも簡単に管理者権限を乗っ取れてしまうバグが見つかった。JPCERT/CCは、Appleによる最新のセキュリティアップデートの適用を呼び掛けている。

Share
Tweet
LINE
Hatena

 JPCERT コーディネーションセンター(以下、JPCERT/CC)は2017年11月29日、Appleの最新OSである「macOS High Sierra 10.13.1」の設定に関するセキュリティの脆弱(ぜいじゃく)性について注意を促した。

 この問題は、「ルートユーザーを無効する」に設定している場合、管理者権限を持つrootアカウントにユーザー名「root」と入力するだけで、パスワードなしでログインできてしまうというもの。悪意のあるユーザーが管理者権限を乗っ取り、悪用できてしまう危険性が指摘されていた。

画像
この問題は、「ルートユーザーを無効にする」と設定している場合に発生する

 問題の原因は、資格情報の検査ロジックにあったバグとされている。Appleは、2017年11月29日(米国時間)の時点で、脆弱性「CVE-2017-13872」として関連情報を公開。最新のセキュリティアップデートを提供している。なお、この問題は、macOS Sierra 10.12.6以前では発生しない。

 JPCERT/CCは、ユーザーに対してAppleによるセキュリティアップデートの適用を推奨し、適用後にはこの問題が発生しないことを確認したという。また、「ルートユーザーのパスワードを適切に設定することでもこの問題を回避できる」と説明している。

 最新のセキュリティアップデートを適用すると、macOSのビルド番号は「17B1003」になる。Appleは、いったんセキュリティアップデートを公開し、適用後のビルド番号を「17B1002」としていたが、適用後にファイル共有の不具合が見つかり、その修正を加えたアップデートを改めて公開した。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  2. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  3. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  4. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  5. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
  8. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  9. CrowdStrikeの事件を受けてMicrosoftとベンダーが議論、Windowsの新しいセキュリティプラットフォームの在り方とは?
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る