- ニュース
写真:Apple
macOS High Sierraにさらに別の重大なセキュリティ上の欠陥が発見されました。
このバグは Apple の最新の公開リリースにも存在しており、パスワードとして任意のものを入力することで誰でもシステム環境設定の App Store 設定を変更できるようになっている。
Appleのソフトウェア品質の低下を無視するのは難しい。iOSでもmacOSでも、アップデートのたびに新たなバグが入り込んでいるようだ。中には深刻なセキュリティ上の欠陥もあり、例えば「root」というパスワードを入力することで誰でもMacの管理者権限を取得できてしまうようなものもある。
新たなセキュリティ上の欠陥が発見される
最新のものもこのカテゴリーに該当します。Open Radarのバグレポートで指摘されているこの脆弱性により、誰でもシステム環境設定内のApp Store設定を変更できます。通常はログインパスワードを入力する欄に何かを入力すると、メニューにアクセスできるようになります。
このメニューに入ると、ユーザーは、macOS アップデートを含む自動アップデートを有効または無効にするなどの些細な操作や、App Store での購入の間にパスワードが要求されるまでの時間を変更するなどのより重要な操作を実行できます。
ただし、ユーザーは管理者アカウントにログインしている必要があるため、ゲストアカウントではこの方法は機能しません。また、システム環境設定の他のメニューは同じ方法ではロックを解除できないことにも注意してください。
Appleは修正プログラムを用意しているかもしれない
このバグ報告を最初に発見したMacRumorsによると 、この脆弱性はAppleの最新リリース10.13.2に存在するものの、macOS Sierraには存在しないとのことです。最新の10.13.3ベータ版ではこの問題は再現されないため、Appleはすでに修正プログラムを用意している可能性があります。
もし Apple がすでにこの問題を認識しているのであれば、誰かが問題に気付く前に修正できればと思っていたに違いありません。
ここまで読んで、「管理者アカウントではApp Storeの設定がデフォルトでロック解除されている」と思われるかもしれません。しかし、 MacRumorsが 付け加えているように、「どんなパスワードでもMacのパスワードプロンプトを回避できるというのは、明らかに受け入れられない」のです。
そもそもプロンプトを出す意味は何でしょうか?
Appleは今回のような頻繁なバグを排除するために何らかの対策を講じる必要があると、私は既に長々と書き、最終的には同社の評判が損なわれる可能性があると警告しました。新リリースで発見されるバグの数が増えるにつれて、その可能性は高まります。
最新情報: 事情に詳しい情報筋によると、このバグはHigh Sierraユーザーにとって何らリスクをもたらすものではないとのことです。管理者アカウントでは、App Storeの設定メニューはデフォルトでロック解除されています。
ただし、管理者が App Storeの設定メニューをロックした場合、そのアカウントを使用している他のユーザーは、正しいパスワードを入力しなくてもロックを解除できます。ただし、管理者権限のない通常ユーザーまたはゲストユーザーとしてログインしている場合は、この方法は機能しません。
この動作により、Mac上の機密性の高いユーザー情報にアクセスすることはできません。ユーザー設定やその他のシステム設定は、ユーザーの管理者パスワードなしでは変更できません。Appleの次のHigh Sierraアップデート(バージョン10.13.3)では、この問題は解消されるとのことです。
Apple はその後、このバグに関して次のような公式声明を発表しました。
このエラーを深く反省し、Macユーザーの皆様に、この脆弱性を残したままリリースしたこと、そしてご心配をおかけしたことをお詫び申し上げます。お客様には、より良い対応を期待しております。このような事態の再発防止のため、開発プロセスの監査を実施しております。
