macOS High Sierra のシステム環境設定にパスワード回避の脆弱性

apple
スポンサーリンク


macOS High Sierra のシステム環境設定にパスワード回避の脆弱性

[aside type=”warning”] 注意
本記事では脆弱性の検証のため、自分が所有している端末で実施しています。店頭展示機や、他人が所有している端末で行うと罪に問われますので、検証する際は必ず自分が所有している端末で実施してください。
[/aside]

昨年に、パスワード無しでrootアカウントでログインできる脆弱性が発見され、非常に大きな話題を呼んだmacOS High Sierraですが、システム環境設定にもパスワード回避の脆弱性が見つかりました。

そんなまさか・・・と思いながら、最新のセキュリティアップデートが適用されたmacOS High Sierra 10.13.2で試してみたところ、すんなりとパスワード回避できてしまいました・・・

macOS High Sierra

方法は至って簡単で、システム環境設定を開き、「App Store」アイコンをクリックします。

macOS High Sierra

App Storeを開いたら、左下の鍵を確認し解錠されているようでしたら一旦クリックして施錠します。

macOS High Sierra

施錠していることを確認したら、鍵のアイコンをクリックします。

macOS High Sierra

すると、当然ながら現在ログインしているユーザーのパスワードを確認されるのですが、ここのパスワードを本来設定していない適当なパスワードを入力します。
例ではマスクされていて分かりませんが、普段設定しているパスワードとは違う「1」を入力しています。

この状態で「ロックを解除」をクリックすると・・・?

macOS High Sierra

何と正しくないパスワードでもロック解除出来てしまうのです・・・

macOS High Sierra

ちなみに他の項目については、誤ったパスワードを入力するとキチンとはねられるようになっています。

まとめ

OSやOSアップデートの不具合のメッカと言えばWindowsでしたが、ここ最近のmacOSも手に負えないくらい酷くなってきたように感じます・・・

今回の脆弱性は、ログインしている状態でなければ変更できませんし、影響範囲がそこまで広くないため、昨年末のrootアカウントログインフリーよりかはまだマシですが、非常にお粗末な脆弱性ですね・・・

なお冒頭でも述べましたが、本記事では脆弱性の検証のため、自分が所有している端末で実施しています。店頭展示機や、他人が所有している端末で行うと罪に問われますので、検証する際は必ず自分が所有している端末で実施してください。

Source: MacRumors

コメント