アップルは30日、「macOS High Sierra v10.13.1」向けの「Security Update 2017-001」を緊急公開した。前日に発覚した管理者アカウントの「root」がパスワードなしで利用できるようになってしまう脆弱性が修正されている。
同日公開されたセキュリティ情報によると、システムの全権を持つrootアカウントの有効化などの機能を提供する「ディレクトリユーティリティ」の認証ロジックに問題があり、管理者の認証を行わずに(管理者パスワードなしで)rootアカウントを有効化できてしまった。この脆弱性を突いてrootアカウントを有効にすると、本来の有効化手順に含まれるパスワードの設定プロセスを経ないため、パスワードなしで利用できる非常に危険な管理者アカウントになってしまう。
脆弱性が影響するのは、macOS High Sierra(v10.13.1)。macOS Sierra(v10.12.6)およびそれ以前のシステムには影響しない。
最新版へのアップデートは、自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。
なお、先の記事でもご紹介した、rootアカウントをパスワードを付けて有効化しておく回避策を実施している場合には、更新後にrootアカウントを無効化しておくことをお勧めする。詳しくは、アップルのドキュメント「Mac でルートユーザを有効にする方法やルートパスワードを変更する方法」(下記)を参照していただきたい。
(2017/11/30 ネットセキュリティニュース)
【関連URL:アップル】
・About the security content of Security Update 2017-001
https://support.apple.com/ja-jp/HT208315
・Mac でルートユーザを有効にする方法やルートパスワードを変更する方法
https://support.apple.com/ja-jp/HT204012