アカウント名:
パスワード:
rootユーザを有効化していなくても入れるというのは結構ポイント高い(何の)。
FBIやNSAのバックドアとして素晴らしい
若干厳しい条件があるもののリモートからでもログインできるらしい。もちろんパスワードなしで。もちろんrootに。
ソース下さい。信じないわけじゃないけど本当ならMacの電源を落とさないといけない。
たとえできたとしても、WAN経由だとそう簡単には行かないですよ。
# 家庭内からのアタックの危険ならご苦労様
これまで報告を読んできた限りGUIコンポーネントのバグっぽいので、あくまでlocal rootの脆弱性でありremote rootじゃないと思うのですが、#3320715みたいに自信たっぷりに言われちゃうと不安になります。
local rootだから安心とはいかないけど、こちらはサーバー系など動かしていないただの家庭ユーザーなので、念の為にrootにパスワードを設定した上でパッチが出るまでは新規ソフトのインストールはしないようにしておけばまあ大丈夫だろうと考えてたのですが・・・。
法人系のシステム管理者はマジで頭が痛いでしょうね。お察しします。
macOSはOSの起動画面からVNC接続が効くんです。なのでGUIログインのバグであれば、そのままリモートデスクトップでも適用可能です。インターネット経由の場合はVPNが通っていれば可能だと思います。VPNが乗っ取られている前提ですが。
単なるGUIコンポーネントのバグで、無効化されている root が有効化されるのか...すごいな!
あ、あとWindowsのクライアントOSと違ってマルチセッションです。使っている裏でroot取られているという事が起きます。
それ単にリロードしただけちゃうん
単なるGUIコンポーネントじゃなくてログイン権限を付与出来るコンポーネントだから、当然root権限を持ってないといけない。
こういう時のこと考えたら1ユーザーのみにされてるWindowsクライアントの設定って「あり」なんだなぁと思ってしまった。サルでも分かるもん。
不便だなぁと思っちゃうけどね。
画面共有してるとまずいってさ。そりゃそうだわな。
電源落とすよりもrootにパスワードを設定する方が簡単なような
猫でもできるからな
NSAとか政府機関のために開けたバックドアならまだ安心できる。このバックドアがただのマジボケなら、Appleやばすぎ。
WindowsもデフォルトでパスなしAdministratorがいるけど管理者権限で意図的にコマンド打たないとさすがに有効化はされんもんね
ユーザー認証ダイアログでユーザー名に「Administrator」と入力し、何度かボタンをクリックするだけで認証が通ってしまうWindowsがあったらこんな静かな騒ぎでは済まなかったろうね
/*うちの従業員はみんなWindowsでよかった。。。とおもったら経営陣がMacでしたorz*/
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
rootユーザ無効でも入れてしまう (スコア:0)
rootユーザを有効化していなくても入れるというのは結構ポイント高い(何の)。
Re: (スコア:0)
FBIやNSAのバックドアとして素晴らしい
Re:rootユーザ無効でも入れてしまう (スコア:1)
若干厳しい条件があるもののリモートからでもログインできるらしい。
もちろんパスワードなしで。もちろんrootに。
Re: (スコア:0)
ソース下さい。信じないわけじゃないけど本当ならMacの電源を落とさないといけない。
Re:rootユーザ無効でも入れてしまう (スコア:1)
たとえできたとしても、WAN経由だとそう簡単には行かないですよ。
# 家庭内からのアタックの危険ならご苦労様
Re: (スコア:0)
これまで報告を読んできた限りGUIコンポーネントのバグっぽいので、あくまでlocal rootの脆弱性でありremote rootじゃないと思うのですが、#3320715みたいに自信たっぷりに言われちゃうと不安になります。
local rootだから安心とはいかないけど、こちらはサーバー系など動かしていないただの家庭ユーザーなので、念の為にrootにパスワードを設定した上でパッチが出るまでは新規ソフトのインストールはしないようにしておけばまあ大丈夫だろうと考えてたのですが・・・。
法人系のシステム管理者はマジで頭が痛いでしょうね。お察しします。
Re:rootユーザ無効でも入れてしまう (スコア:2)
うん,Xserveは撤退して当たり前の開発力だわ。
Re:rootユーザ無効でも入れてしまう (スコア:1)
macOSはOSの起動画面からVNC接続が効くんです。なのでGUIログインのバグであれば、そのままリモートデスクトップでも適用可能です。インターネット経由の場合はVPNが通っていれば可能だと思います。VPNが乗っ取られている前提ですが。
Re: (スコア:0)
単なるGUIコンポーネントのバグで、無効化されている root が有効化されるのか...
すごいな!
Re:rootユーザ無効でも入れてしまう (スコア:1)
あ、あとWindowsのクライアントOSと違ってマルチセッションです。使っている裏でroot取られているという事が起きます。
Re: (スコア:0)
それ単にリロードしただけちゃうん
Re: (スコア:0)
単なるGUIコンポーネントじゃなくてログイン権限を付与出来るコンポーネントだから、当然root権限を持ってないといけない。
Re: (スコア:0)
こういう時のこと考えたら1ユーザーのみにされてるWindowsクライアントの設定って「あり」なんだなぁと思ってしまった。サルでも分かるもん。
不便だなぁと思っちゃうけどね。
Re: (スコア:0)
画面共有してるとまずいってさ。そりゃそうだわな。
Re: (スコア:0)
電源落とすよりもrootにパスワードを設定する方が簡単なような
Re: (スコア:0)
猫でもできるからな
Re: (スコア:0)
NSAとか政府機関のために開けたバックドアならまだ安心できる。
このバックドアがただのマジボケなら、Appleやばすぎ。
Re:rootユーザ無効でも入れてしまう (スコア:3)
「あの」Appleですもん。
iMac以降のApple信者だと盲目的かもしれませんが,
開発力不足による倒産危機を味わってると,さもありなんという感じ。
Re: (スコア:0)
WindowsもデフォルトでパスなしAdministratorがいるけど
管理者権限で意図的にコマンド打たないと
さすがに有効化はされんもんね
ユーザー認証ダイアログで
ユーザー名に「Administrator」と入力し、
何度かボタンをクリックするだけで
認証が通ってしまうWindowsがあったら
こんな静かな騒ぎでは済まなかったろうね
/*
うちの従業員はみんなWindowsでよかった。。。
とおもったら経営陣がMacでしたorz
*/