• AAPL社
• アップルニュース
• マックOSX
• パスワード
• ZDネット

Mac OS X 10.7.3 のバグによりパスワードがプレーンテキストで公開される

セキュリティ研究者のDavid Emery氏（ZDNET経由）は、Mac OS X 10.7.3にログインパスワードを平文で保存するバグを発見したと主張しました。最近のニュースレターで、彼は何者か（おそらくAppleのプログラマー）が誤って「デバッグスイッチ（DEBUGLOG）をオンにし」、パスワードをシステム全体のデバッグログファイルに保存したと主張しました。Emery氏は、Lionへのアップグレード前にAppleの「レガシー」Filevaultで暗号化されたフォルダが危険にさらされていると説明しました。

…グループ管理者がアクセス可能なファイルを読み取れる人は誰でも、2012年2月初旬の10.7.3へのアップグレード以降にログインした、レガシー（LION以前）Filevaultホームディレクトリのユーザー全員のログインパスワードを知ることができます…これは見た目以上に深刻な問題です。問題のログは、マシンをFireWireディスクモードで起動し、ドライブをディスクとして開くことで読み取ることも、LION対応のリカバリパーティションを起動し、利用可能なスーパーユーザーシェルを使用してメインファイルシステムパーティションをマウントし、ファイルを読み取ることでも読み取ることができるからです。これにより、ログインパスワードを全く知らないマシンの暗号化パーティションに侵入できる可能性があります。

また、ユーザー名とパスワードで保護されているはずのコンテンツにもアクセスできてしまいます。幸いなことに、保存されたパスワードファイルはデフォルトで「数週間」しか保存されません。しかし、ログファイルもプレーンテキストでバックアップされるため、Time Machineのバックアップにも影響が出ます。エメリー氏は、Appleが問題を修正するまでの間、自分自身を守る最善の方法はFileVault 2を使うことだと述べています。展開展開閉じる