マイク・ワーテル
· 1分で読めます
macOS High Sierra 10.13.2 の App Store 設定は、管理者アカウントで入力したパスワードでロック解除できますが、Apple は現在テスト中のベータリリースですでに修正を実装しているようです。
1月8日にOpen Radarに報告され、MacRumorsが初めて発見したこの脆弱性により、管理者レベル以上の権限を持つアカウントでログインし、物理的にマシンにアクセスできるユーザーは誰でも、正規のパスワードを入力することなくApp Storeの設定を自由に変更できるようになります。攻撃者はパスワード要件の設定を変更したり、コンピュータへのmacOSパッチの自動インストールを無効にしたりすることが可能になります。
脆弱性として考えると、これは品質保証とテストにおける重大なミスですが、ユーザーにとって深刻なセキュリティ上の影響を与えるものではありません。以前のバグは、ルートアカウントを作成してアクセスを許可できる可能性があり、より深刻なセキュリティ上の影響がありました。
AppleInsiderは、この問題をHigh Sierra 10.13.1および10.13.2で再現しました。ただし、この脆弱性はHigh Sierra 10.13.3 beta 4で修正されたようで、アップデート前のHigh Sierra 10.13では存在しなかったようです。Sierra、El Capitan、Mavericks、Lionでは再現できませんでした。
ユーザーは、Macを物理的に安全に保ち、マシンから離れる際にはログアウトすることでリスクを最小限に抑えることができます。信頼できない第三者によるマシンへのリモートアクセスを防止することで、さらなるセキュリティ強化を図ることができます。
