Appleは、Macの様々なバグ修正を含むmacOS High Sierraの追加アップデートをリリースしました。Appleによると、インストーラの堅牢性が向上し、Adobe InDesignのグラフィックの問題が解決され、Yahoo!アカウントからメールが送信されない問題も修正されています。
アップデートするには、Mac App Store を開き、macOS High Sierra を実行しているマシンの「アップデート」タブに移動します。
Apple はリリースノートに 3 つの非常に具体的な修正を記載していますが、セキュリティノートでは、アップデートには 2 つの重要な修正も含まれていることを示しています。
これらのうちの1つは、今日インターネット上で広まっているAPFSの問題を修正するものです。このバグにより、一部のAPFSボリュームのパスワードがディスクユーティリティのインターフェース上で平文で表示されることがありました。
パスワードはパスワードフィールドに保存されるのではなく、誰でも読める「ヒント」として設定されてしまいます。この問題のデモはこちらでご覧いただけます。
自分で試してみたら、確かにそうだった。#HighSierra は #APFS ボリュームのパスワードをヒントとして表示する。再起動してもキーチェーンには保存されず、そのまま表示される。すごい。本当にすごい。 pic.twitter.com/FkcHI9KHl9
— フェリックス・シュワルツ (@felix_schwarz) 2017 年 10 月 5 日
追加アップデートには、悪意のあるアプリケーションが実行中のシステムからすべてのパスワードを抽出できるキーチェーンの問題の修正も含まれています。
Apple は、顧客が直面している緊急の問題があるものの、新しいバージョン番号を正当化するほどの変更が十分にない場合に、macOS の「補足アップデート」を時々リリースします (現在ベータ版の macOS 10.13.1 など)。
Mac App Store から初めて High Sierra をインストールする場合、Apple は追加アップデートに含まれる変更を含めるようにダウンロードを更新しています。
いつものように、アップデート適用後に確認できるその他の変更点についてはお知らせしますが、当然ながら、既に文書化されているもの以外に大きな変更点はないと予想しています。High Sierraは9月25日にリリースされました。
macOS High Sierra 10.13 追加アップデート
2017年10月5日リリース
ストレージキット
対象OS: macOS High Sierra 10.13
影響: ローカル攻撃者が暗号化された APFS ボリュームにアクセスする可能性がある
説明:APFS 暗号化ボリュームの作成時にディスクユーティリティでヒントを設定した場合、パスワードがヒントとして保存されていました。この問題は、ヒントがパスワードである場合にヒントの保存を消去し、ヒントの保存ロジックを改善することで解決されました。
CVE-2017-7149: Leet Tech の Matheus Mariano 氏
安全
対象OS: macOS High Sierra 10.13
影響: 悪意のあるアプリケーションがキーチェーンのパスワードを抽出できる
説明: アプリケーションがキーチェーンアクセスのプロンプトを擬似クリックで回避する方法が存在していました。この問題は、キーチェーンアクセスのプロンプトでユーザーパスワードを要求することで解決されました。
CVE-2017-7150: Synack の Patrick Wardle 氏
macOS High Sierra 10.13 の新規ダウンロードには、macOS High Sierra 10.13 追加アップデートのセキュリティ コンテンツが含まれています。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
