Oligur

• ニュース

少なくともPRの面では、今年はMacのセキュリティにとって良い年ではありませんでしたが、今後さらに状況は悪化しそうです。Appleのプログラマーが、アップデートが一般に配布される前に、OS X 10.7.3のセキュリティ設定でデバッグスイッチをオフにし忘れたのです。

その結果、OS X 10.7.3 を使用している場合、ログイン パスワードが、暗号化されていない、簡単にアクセスできるハード ドライブのセクションにプレーン テキストで保存される可能性があります。

この大規模な SNAFU は、セキュリティ研究者の David Emery 氏によって発見されました。同氏は、Apple の最新の Lion セキュリティアップデート (OS X 10.7.3) の一部のディストリビューションで、すべてのユーザーログインパスワードがシステム全体のデバッグログファイルに実際のテキストで保存されていると主張しています。

エメリー氏によると、このファイルとそこに含まれるすべてのパスワードは、コンピュータに物理的またはリモートでアクセスできる人なら誰でも簡単にアクセスできるため、これは深刻な問題です。

これは見た目以上に深刻な事態です。問題のログは、マシンをFireWireディスクモードで起動し、ドライブをディスクとして開くことで読み取ることも、LION対応のリカバリパーティションを起動し、利用可能なスーパーユーザーシェルを使ってメインファイルシステムパーティションをマウントしてファイルを読み取ることでも読み取ることができるからです。これにより、ログインパスワードを全く知らないマシン上の暗号化されたパーティションに侵入できる可能性があります。

さらに悪いことに、これは外部ドライブ上の Time Machine バックアップにも影響を及ぼし、Filevailt を使用しているコンピューターでもハッカーによるログ ファイルへのアクセスから安全ではありません。

Emery 氏によると、Apple がこの脆弱性全体にパッチを当てるまでの間、自分自身を守る最善の方法は、Filevault 2 のディスク全体の暗号化を使用するとともに、ファームウェア パスワードを要求することで、ハッカーがコンピュータを FireWire ディスク モードで起動してディスクにアクセスするのを防ぐことです。

Appleが近日中にこの問題の修正を急いでリリースする可能性は低いだろうが、Flashbackの余波を受けて、このような愚かな失態は時期尚早だ。消費者は既に、Macが従来考えられていたほど安全ではないのではないかと懸念し始めている。Appleは最新のOS Xアップデートを配信する前にユーザーのシステムのセキュリティを再確保することを怠り、この議論を助長する必要はない。

出典: Cryptome
経由: ZDNet