AppleInsiderスタッフ
· 1分で読めます
この脆弱性は、先週末にDavid I. Emery氏がCrytomeメーリングリスト(Suddeutsche.de経由)に投稿した記事で詳細が明らかにされました。この問題は、OS X 10.7.3にアップデートしたユーザーの特定の構成にのみ発生し、ログインパスワードをプレーンテキストで表示するシステム全体のデバッグファイルが作成されます。
「したがって、グループ管理者がアクセスできるファイルを読み取ることができる人なら誰でも、2012年2月初旬の10.7.3へのアップグレード以降にログインしたレガシー(LION以前)Filevaultホームディレクトリのユーザーのログインパスワードを発見できる」とエメリー氏は説明した。
ログインデータは、MacをFireWireディスクモードで起動し、ドライブをディスクとして開いて読み取ることでも確認できます。また、Lionのリカバリパーティションを起動し、利用可能なスーパーユーザーシェルを使用してメインファイルシステムパーティションをマウントすることでも、この情報にアクセスできます。
ユーザーは、FileVault 2 のディスク全体の暗号化機能を使用することで、これらの方法から身を守ることができます。Emery 氏は、この機能では、ユーザーがディスクのメイン パーティションにアクセスする前に、少なくとも 1 つのログイン パスワードを知っている必要があると説明しました。
ユーザーがリカバリ パーティションまたは外部メディアを起動したり、FireWire ディスク モードに入る前に入力する必要があるファームウェア パスワードを設定することで、さらに保護を強化できます。
「管理者が読み取り可能なファイルにパスワードを平文で記録することは、特定のマシンの異なるユーザーが互いに分離され、互いのファイルにアクセスしたり、ある程度のセキュリティを保証しながら互いのユーザーとしてログインしたりできないという、家庭ではよくあるセキュリティモデルを完全に破壊する」とエメリー氏は書いている。
このバグは、2月初旬にリリースされたAppleのOS X 10.7.3アップデートで発生しました。最新バージョンのLionには、Wi-Fi接続の修正とWindowsファイル共有との互換性が含まれています。
