アカウント名:
パスワード:
rootユーザを有効化していなくても入れるというのは結構ポイント高い(何の)。
FBIやNSAのバックドアとして素晴らしい
若干厳しい条件があるもののリモートからでもログインできるらしい。もちろんパスワードなしで。もちろんrootに。
ソース下さい。信じないわけじゃないけど本当ならMacの電源を落とさないといけない。
たとえできたとしても、WAN経由だとそう簡単には行かないですよ。
# 家庭内からのアタックの危険ならご苦労様
これまで報告を読んできた限りGUIコンポーネントのバグっぽいので、あくまでlocal rootの脆弱性でありremote rootじゃないと思うのですが、#3320715みたいに自信たっぷりに言われちゃうと不安になります。
local rootだから安心とはいかないけど、こちらはサーバー系など動かしていないただの家庭ユーザーなので、念の為にrootにパスワードを設定した上でパッチが出るまでは新規ソフトのインストールはしないようにしておけばまあ大丈夫だろうと考えてたのですが・・・。
法人系のシステム管理者はマジで頭が痛いでしょうね。お察しします。
macOSはOSの起動画面からVNC接続が効くんです。なのでGUIログインのバグであれば、そのままリモートデスクトップでも適用可能です。インターネット経由の場合はVPNが通っていれば可能だと思います。VPNが乗っ取られている前提ですが。
あ、あとWindowsのクライアントOSと違ってマルチセッションです。使っている裏でroot取られているという事が起きます。
25日土曜日夕方頃に、Macを利用開始セットアップした時の話、SierraのデフォルトからHigh SierraにアップデートしてSafariでのAppleサイトでAppleIDの新規登録を行っていた時、その登録ページでパスワード・設問・設問の答え等をを考えながら入力していたら、突然、今まで入力していた文字が消えて初期の表示に戻ったのが数回発生した。で、これ変だと思い、登録は止めてシステム終了して1時間ほど電源を切っていたが、あのサイトの表示状態が変だったのはリモートで悪戯されていたのだろうか?
それ単にリロードしただけちゃうん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
rootユーザ無効でも入れてしまう (スコア:0)
rootユーザを有効化していなくても入れるというのは結構ポイント高い(何の)。
Re: (スコア:0)
FBIやNSAのバックドアとして素晴らしい
Re: (スコア:1)
若干厳しい条件があるもののリモートからでもログインできるらしい。
もちろんパスワードなしで。もちろんrootに。
Re: (スコア:0)
ソース下さい。信じないわけじゃないけど本当ならMacの電源を落とさないといけない。
Re: (スコア:1)
たとえできたとしても、WAN経由だとそう簡単には行かないですよ。
# 家庭内からのアタックの危険ならご苦労様
Re: (スコア:0)
これまで報告を読んできた限りGUIコンポーネントのバグっぽいので、あくまでlocal rootの脆弱性でありremote rootじゃないと思うのですが、#3320715みたいに自信たっぷりに言われちゃうと不安になります。
local rootだから安心とはいかないけど、こちらはサーバー系など動かしていないただの家庭ユーザーなので、念の為にrootにパスワードを設定した上でパッチが出るまでは新規ソフトのインストールはしないようにしておけばまあ大丈夫だろうと考えてたのですが・・・。
法人系のシステム管理者はマジで頭が痛いでしょうね。お察しします。
Re: (スコア:1)
macOSはOSの起動画面からVNC接続が効くんです。なのでGUIログインのバグであれば、そのままリモートデスクトップでも適用可能です。インターネット経由の場合はVPNが通っていれば可能だと思います。VPNが乗っ取られている前提ですが。
Re: (スコア:1)
あ、あとWindowsのクライアントOSと違ってマルチセッションです。使っている裏でroot取られているという事が起きます。
Re: (スコア:-1)
25日土曜日夕方頃に、Macを利用開始セットアップした時の話、
SierraのデフォルトからHigh SierraにアップデートしてSafariでのAppleサイトでAppleIDの新規登録を行っていた時、その登録ページでパスワード・設問・設問の答え等をを考えながら入力していたら、突然、今まで入力していた文字が消えて初期の表示に戻ったのが数回発生した。
で、これ変だと思い、登録は止めてシステム終了して1時間ほど電源を切っていたが、あのサイトの表示状態が変だったのはリモートで悪戯されていたのだろうか?
Re:rootユーザ無効でも入れてしまう (スコア:0)
それ単にリロードしただけちゃうん