マイキー・キャンベル
· 1分で読めます
最近発見されたルートユーザーのバグに対する Apple の迅速な修正は、以前のバージョンのオペレーティング システムから macOS 10.13.1 にアップグレードすることで無効にできるようです。つまり、これを行うユーザーは、知らないうちに明白なセキュリティ ホールを再び生み出すことになります。
金曜のWiredの報道によると、macOS 10.13.0 High Sierraから10月末にリリースされた最新バージョン10.13.1にアップグレードすると、ルートユーザーログインの欠陥に対するAppleのセキュリティパッチが無効になることを複数のユーザーが確認したという。
特に、水曜日にリリースされたセキュリティアップデートをダウンロードしてインストールしたmacOS 10.13.0を実行しているユーザーは、macOS 10.13.1にアップグレードした後に根本的なバグが再び現れたと述べています。
さらに悪いことに、macOS 10.13.1にアップグレードした後、Appleの修正プログラムを再インストールしようとした2人のユーザーが、ルートログインのバグはシステムを再起動するまで解消されないと述べています。Appleのドキュメントには、インストールに必要なプロセスとして再起動は記載されていません。
「App Storeからアップデートを再度インストールし、それでもバグが発生することを確認しました。これは本当に最悪です」と、MalwareBytesのセキュリティ研究者、トーマス・リード氏は述べた。「まだ10.13.1にアップデートしていない人は、今まさにこの問題に直面する段階に入っています。」
リード氏はさらに、多くの Mac ユーザーは一度に何カ月もコンピュータを再起動しないため、根本的な欠陥が残る場合もあると指摘した。
今週初め、研究者らがmacOSのセキュリティバグを公開しました。このバグにより、High Sierra搭載のMacに誰でもパスワードを入力せずに「ルート」システム管理者としてログインできてしまうのです。それから24時間も経たないうちに、AppleはMac App Store経由でセキュリティアップデート2017-001をリリースし、この脆弱性を解消しました。
しかし、このセキュリティパッチによって新たな問題が発生し、Macで認証やファイル共有への接続に問題が発生しました。Appleはサポートページにターミナルの簡易修正プログラムを掲載し、数時間後には恒久的な解決策を含むセキュリティパッチを再リリースしました。
元のルートユーザーバグほどの被害はないものの、Appleのセキュリティパッチの不具合は、クパチーノを拠点とするテクノロジー大手としては異例のずさんさです。セキュリティパッチの2つのバグがどのようにしてAppleの品質保証チームをすり抜けたのかは不明です。
