アカウント名:
パスワード:
関連リンクの「macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる」も 18時間後にセキュリティアップデートがでたそうです。10.13.1 へのアップデートを保留していて順番が違うと再発するそうなので注意。macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動) [oricon.co.jp]
で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態ではすべてのMacがクラックされたとみなすしかないわけです
このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね
なにか勘違いしているのでは? 関連ストーリーのコメントを全て追ってはいませんが、ログインせずに root 権限を得る方法は発表されていませんよね。UAC でクリックするだけの Windows 並みのセキュリティだったというだけでは。
紛失盗難については、ディスクの暗号化をしていれば問題ないし、暗号化していなければ外部起動なりディスクの取り出しなりをされれば漏洩するでしょうし、この問題と関係なくないですか。
あなたの想像よりずっとすくないと想像します。
# 被害報告ってそもそもあったの?
いや関連ストーリー追えよ。GUIログイン画面でroot奪取できるバグなので、盗難に遭ったMacで、Macを探すでの消去が間に合わなかった場合はまずいかな。rootなので、ディスクの暗号化も突破できる。画面共有でもGUIログイン画面を経由するので突破できるけど、ディフォルトでOFFだしVPN乗っ取られてない限りは大丈夫かな。言うほど被害は無いと思いますが。
> いや関連ストーリー追えよ。
いや、一度追っていますが、そのあともたくさんコメントがついているので。
> GUIログイン画面でroot奪取できるバグなので、
その「GUIログイン画面」というのはパスワードなしで入れるものなのですか。「システム環境設定」などを起動して root 権限を得るという理解でいたのですが。
難しく考えすぎです。電源切った後、再起動すればパスワードなしでログイン画面は出せます。要するにハードに直接アクセス可能な人ならrootユーザーを勝手に作れます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
OS X 10.13.1 の root 問題も治っています (スコア:5, 参考になる)
関連リンクの「macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる」も 18時間後にセキュリティアップデートがでたそうです。
10.13.1 へのアップデートを保留していて順番が違うと再発するそうなので注意。macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動) [oricon.co.jp]
Re: (スコア:3, すばらしい洞察)
で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態では
すべてのMacがクラックされたとみなすしかないわけです
このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね
Re: (スコア:-1, 荒らし)
で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態ではすべてのMacがクラックされたとみなすしかないわけです
なにか勘違いしているのでは? 関連ストーリーのコメントを全て追ってはいませんが、ログインせずに root 権限を得る方法は発表されていませんよね。UAC でクリックするだけの Windows 並みのセキュリティだったというだけでは。
紛失盗難については、ディスクの暗号化をしていれば問題ないし、暗号化していなければ外部起動なりディスクの取り出しなりをされれば漏洩するでしょうし、この問題と関係なくないですか。
このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね
あなたの想像よりずっとすくないと想像します。
# 被害報告ってそもそもあったの?
Re: (スコア:0)
いや関連ストーリー追えよ。
GUIログイン画面でroot奪取できるバグなので、盗難に遭ったMacで、Macを探すでの消去が間に合わなかった場合はまずいかな。rootなので、ディスクの暗号化も突破できる。
画面共有でもGUIログイン画面を経由するので突破できるけど、ディフォルトでOFFだしVPN乗っ取られてない限りは大丈夫かな。
言うほど被害は無いと思いますが。
Re: (スコア:0, 荒らし)
> いや関連ストーリー追えよ。
いや、一度追っていますが、そのあともたくさんコメントがついているので。
> GUIログイン画面でroot奪取できるバグなので、
その「GUIログイン画面」というのはパスワードなしで入れるものなのですか。「システム環境設定」などを起動して root 権限を得るという理解でいたのですが。
Re:OS X 10.13.1 の root 問題も治っています (スコア:3, すばらしい洞察)
難しく考えすぎです。
電源切った後、再起動すればパスワードなしでログイン画面は出せます。
要するにハードに直接アクセス可能な人ならrootユーザーを勝手に作れます。