ここから本文です

適当なパスワードでMac App Store設定を変更できるバグ発覚。次回アップデートで修正予定

1/11(木) 12:55配信

Engadget 日本版

macOS High Sierraの最新バージョンにセキュリティ上の問題があり、悪意ある者が好きなパスワードを使ってMac App Storeの設定を変更できてしまうことがわかりました。

ただしこのバグを突くにはまず管理者権限でのログインが必要。アップルはmacOS 10.13.3の最新ベータ版でこの問題を修正しており、数週のうちには正式なアップデートとして公開されると考えられます。
セキュリティ情報サイトのOpen Radarが伝えるように、このバグは管理者レベルのアカウントでログインし、システム環境設定からApp Storeの設定画面で錠前アイコンがロックされている場合、これをクリックすれば好きなパスワードでロック解除ができてしまうという内容。

MacRumorsによると、システム環境設定内の他の項目ではどのようなアカウントを使っても同様の手法が使えず、ユーザーやグループ権限の設定といったより重要な部分は今回のバグの影響を受けないとのこと。

冒頭にも記したとおり、物理的に管理者レベルでアクセスできなければこのバグを突く事はできないため、実質的には大きな問題にはなりにくいかもしれません。ただ、攻撃者がその権限を持っていれば、たとえばわざと脆弱性のあるアプリをインストールしてさらなる悪用に利用される可能性もゼロではありません。

アップルはこの件に関してコメントを出していないものの、次期アップデートに修正が含まれていることから、問題は近いうちに修正される見込みです。

Macは2018年11月に空白パスワードで管理者ログインできてしまうという脆弱性が発覚し「再発防止のために開発プロセスの見直しを実施する」としていました。

Munenori Taniguchi

最終更新:1/11(木) 12:55
Engadget 日本版