

macOS High Sierraの最新バージョンに新たなセキュリティホールが発見されました。この脆弱性により、Macにアクセスできるユーザーは誰でも、システムパスワードなしでApp Storeのシステム環境設定のロックを解除できます。この脆弱性の影響は深刻ではないようですが、セキュリティ機能が意図したとおりに機能していないことは明らかです。
このセキュリティホールは、Open Radar に投稿され、 MacRumorsによって共有されたバグレポートによって初めて公表されました。レポートに記載されているように、このセキュリティ欠陥はmacOS High Sierraの現在のパブリックバージョンであるmacOS 10.13.2に存在していましたが、macOS 10.13.3の最新ベータ版で修正されています。
私たちはこれをmacOS High Sierraのパブリックバージョンと開発者ベータバージョンの両方でテストし、私たちのマシンでも問題と修正を確認しました。
この脆弱性により、Macにアクセスできるユーザーは誰でも、システム環境設定アプリのApp Storeセクションで任意のパスワードを入力できてしまいます。これは明らかにあってはならないことです。この脆弱性は、ここ数週間で確認された一連の注目すべきセキュリティバグに続くもので、その中には、誰でも重要なアカウント設定などにアクセスできてしまう悪名高いルートアクセス脆弱性も含まれています。
幸いなことに、このバグは App Store の設定ページに限定されているようです。南京錠ではシステム環境設定内の他のセクションのロックを解除できないため、ユーザー アカウントやその他の設定を変更できません。
App Store のシステム環境設定ウィンドウ内の設定の多くも Apple ID パスワードで保護されており、この方法では変更できませんが、Mac に物理的にアクセスできる悪意のあるユーザーが自動更新セクションのオプションを切り替える可能性があります。
macOS 10.13.3 ベータ版に含まれる修正がすべての顧客にいつ出荷されるかは不明ですが、アップデートがすぐにユーザーに届くことを期待しています。
一方で、この脆弱性は個人データへのアクセスを共有するものではなく、管理者ユーザーにのみ影響し、標準ユーザーには影響しないことに注意してください。macOS High Sierraでは現在、この設定セクションを開く際にデフォルトで鍵アイコンが表示されますが、次回のアップデートでこの動作が変更され、修正が組み込まれる予定です。
Appleのニュースをもっと知りたい方は、YouTubeで9to5Macを購読してください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。