アカウント名:
パスワード:
関連リンクの「macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる」も 18時間後にセキュリティアップデートがでたそうです。10.13.1 へのアップデートを保留していて順番が違うと再発するそうなので注意。macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動) [oricon.co.jp]
で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態ではすべてのMacがクラックされたとみなすしかないわけです
このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね
こいつはなにをいっているんだ?
皮肉かマジレスかがちょっと判じ難いけどたぶんお前は文章そのものをわかってなさそう
またそうやってごまかしてるイ言者
具体的に「何をおかしいと思って、こいつは何を言ってるんだ?と疑問に思ったのか」を書きなよ。それで済む話だよ。妄想で信者とか書いてる暇があったら、そうしなさい。
Mac盗んだらHDD取り出したりターゲットディスクモードで中身をぶっこぬけばいいじゃん。脆弱性突くまでもなく。FileVaultはデフォルトでオフなんだから。
なぜこのコメントがすばらしい洞察なんだろうかモデレータの質が悪いのか晒し上げのつもりなのか
被害ではありますん。神に試されているのです。あなたは、全財産を全て投げ打ってでも、神の心を信じるのかと。
いや関連ストーリー追えよ。GUIログイン画面でroot奪取できるバグなので、盗難に遭ったMacで、Macを探すでの消去が間に合わなかった場合はまずいかな。rootなので、ディスクの暗号化も突破できる。画面共有でもGUIログイン画面を経由するので突破できるけど、ディフォルトでOFFだしVPN乗っ取られてない限りは大丈夫かな。言うほど被害は無いと思いますが。
> いや関連ストーリー追えよ。
いや、一度追っていますが、そのあともたくさんコメントがついているので。
> GUIログイン画面でroot奪取できるバグなので、
その「GUIログイン画面」というのはパスワードなしで入れるものなのですか。「システム環境設定」などを起動して root 権限を得るという理解でいたのですが。
難しく考えすぎです。電源切った後、再起動すればパスワードなしでログイン画面は出せます。要するにハードに直接アクセス可能な人ならrootユーザーを勝手に作れます。
Apple信者ってほんとにいるんだ。。
GUIログイン画面だって言ってんのに、パスワード無しで入れるものなのですかってあんたもー何いってんだそれともMacじゃログイン画面(ユーザID・パスワードの入力画面)にたどり着くために別のパスワード入れるのが当たり前の運用なの?
おそらくそのID持ちは過去記事みてなくて、脆弱性がログイン後の認証時のみだと思ってたんだろう同一の脆弱性がログイン画面でもある、って知らないのかな。
まあ、元コメもよく確認せずにイキってるのはあれだが、なんでも信者認定するのはよくない。むしろこれは信者ではなくただの情弱だ。
こんなはっきり指摘されて見えないってウッソだろ?ちゃんと「見落としてました」ってちゃんと言えるのかなコイツ。こんなコメントもしてる [srad.jp]し十分信者扱いでいいと思うけど。
というか信者で何が一番やばいかって、こうやって甘い知識で安全と思いこんだり安全と拡散する馬鹿スパイラルやってることでしょう。その歯車としてガッツリ回っている以上、「悪しきApple信者」と同じ扱いでいいと思う。ただApple製品が好きなだけのやつより質が悪い。
モデレートの新たな種別として「ボンクラ」の必要性を訴えたいと思いました…
「信者」とボンクラを一緒にしてほしくないなぁ。
そういや、アップル本体自身が、osxはウイルスに感染しないってcm出してたよなぁ。この、アップルのcmに対する無謬性こそ信者の条件だと思ってた。
だからあなたの言い方を真似るなら、情強と信者を一緒にするな、だろ。
Unix使いじゃ無いと知らないかも知れませんが、生のmacOSでもsshサーバーを起動できるので、CLIでログイン出来るのです。だからGUIログイン画面というのは通常のログイン画面です。ログイン画面は、各ユーザーのセッションを起動する関係でroot権限を持ってます。macOSはsudoポリシーなので、rootではログイン出来ません。rootを有効にするにはシステム環境設定から面倒な手順が必要です。ところがログイン画面でユーザー名をrootにしてばしばし叩くとrootが有効化され、パスワード無しでログイン出来るのです。
「ログイン画面」 の意味すら分からない本物の馬鹿を始めて見た。
「パソコン立ち上げるのに、ログインするのに電源入れたらログイン画面出るだろうに」
簡単に言えば、電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。前のストーリーは。
一晩と半日でえらいもりあがってる。とりあえずこのコメントに返信しておきます。
> 簡単に言えば、> 電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。> 前のストーリーは。
少なくとも手元の検証環境では「ログイン画面でユーザーroot,パスワード未入力で常にログインでき」なかったので勘違いしていました。ログインボタンを一度押すだけではだめで、何度も押さないとダメなんですね。読み落としていました。申し訳ない。
> Anyone can login as "root" with empty password after clicking on login button several times.
# 「あらし」モデが 3回ついたのも初めてかも。
rootを入れて連打するっていうのが問題として非常に良い(?)ところ知らないとぱっと気づかないが知ってればすごく簡単という…
ワンクリックで入れるならもっと早くに、上手くすればリリース前に、気付かれていたでしょうなぁ
> 言うほど被害は無いと思いますが
少なくとも紛失盗難端末はなすすべもなくroot権限プレゼント付きで完全にクラックされたわけですがWIFIなどがつながらなくしておけばリモートからの強制消去なども届きません
Macの中身を使ったさらなる悪事の範囲まで含め、どれくらいの被害が出たか想像もできないレベルですよ
もしかしたら、FBIが仕事しやすくなるようにというAppleの思いやりなのかもしれない。
今回の問題をrootのパスワードを変更して回避していたユーザーが、アップデートしたらパスワードが通らなくなった(別のパスワードで上書きされた)そうですし、本当にバックドアなのかもしれないですね。
バックドア仕掛けて隠そうとして失敗してた。という杜撰な仕事が正解だったら嫌だなぁ。
それはrootアカウントがデフォルト設定(無効化)に戻されただけだ。バックドアならもうちょっと真面目に仕込んでるだろ。
> rootなので、ディスクの暗号化も突破できる。
このバグを利用してroot権限を取るには、ユーザ名として「root」と入力できる状況にしないといけないというのが前提ですよね。ディスクが暗号化されていると、起動時のログイン画面にはディスクの暗号化を解除できるユーザしか表示されません(rootは出てこないので選べない)。危険なのは、ディスクが暗号化されていないMacや、すでにログインしているMacだと思っていたのですが、違うのでしょうか。
しかし、これだけHigh Sierraで変な脆弱性が発見されていると、面倒になるので設定していなかったファームウェアパスワードも、設定したほうがいいかなと思う今日この頃です。
> UAC でクリックするだけの Windows 並みのセキュリティだったというだけでは。 さすがですなぁ... 訓練されてる。
しかも、UACクリックするだけですむのはもともとadmin権限持ってるユーザーだけなのに美味しんぼ原作者といい、Apple信者は嘘をまき散らすことが仕事なのか
それは因果関係が違うんじゃないですかね事実よりもフィーリングを大切にするタイプにマックの一種情緒的な部分(スタイリッシュ!的な)がマッチして人気が出る、出た、んじゃないでしょうか
Apple信者の仕事 -> 嘘をまき散らすではなく事実を確認せず気分で喋る人 -> Apple好きになりやすいではないかと言ってるだけですが、そんなに意味不明ですかね
Appleを攻撃してるとか擁護してるとかじゃないと理解できない?# 割と攻撃してるような内容ですが
この操作はログイン画面でも行えるそうで、そうすると勝手にシステム管理権限を持つ「root」アカウントが有効となり、rootユーザーでのログインに成功してしまうという。
そもそも前の記事時点でログイン画面からrootによるログインが出来ることが分かっているのに何言ってんだ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
OS X 10.13.1 の root 問題も治っています (スコア:5, 参考になる)
関連リンクの「macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる」も 18時間後にセキュリティアップデートがでたそうです。
10.13.1 へのアップデートを保留していて順番が違うと再発するそうなので注意。macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動) [oricon.co.jp]
Re:OS X 10.13.1 の root 問題も治っています (スコア:3, すばらしい洞察)
で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態では
すべてのMacがクラックされたとみなすしかないわけです
このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね
Re: (スコア:0)
こいつはなにをいっているんだ?
Re: (スコア:0)
皮肉かマジレスかがちょっと判じ難いけど
たぶんお前は文章そのものをわかってなさそう
Re: (スコア:0)
またそうやってごまかしてるイ言者
Re: (スコア:0)
具体的に「何をおかしいと思って、こいつは何を言ってるんだ?と疑問に思ったのか」を書きなよ。それで済む話だよ。
妄想で信者とか書いてる暇があったら、そうしなさい。
Re: (スコア:0)
Mac盗んだらHDD取り出したりターゲットディスクモードで中身をぶっこぬけばいいじゃん。脆弱性突くまでもなく。FileVaultはデフォルトでオフなんだから。
Re: (スコア:0)
なぜこのコメントがすばらしい洞察なんだろうか
モデレータの質が悪いのか晒し上げのつもりなのか
Re: (スコア:0)
被害ではありますん。
神に試されているのです。あなたは、全財産を全て投げ打ってでも、神の心を信じるのかと。
Re: (スコア:0)
いや関連ストーリー追えよ。
GUIログイン画面でroot奪取できるバグなので、盗難に遭ったMacで、Macを探すでの消去が間に合わなかった場合はまずいかな。rootなので、ディスクの暗号化も突破できる。
画面共有でもGUIログイン画面を経由するので突破できるけど、ディフォルトでOFFだしVPN乗っ取られてない限りは大丈夫かな。
言うほど被害は無いと思いますが。
Re: (スコア:0, 荒らし)
> いや関連ストーリー追えよ。
いや、一度追っていますが、そのあともたくさんコメントがついているので。
> GUIログイン画面でroot奪取できるバグなので、
その「GUIログイン画面」というのはパスワードなしで入れるものなのですか。「システム環境設定」などを起動して root 権限を得るという理解でいたのですが。
Re:OS X 10.13.1 の root 問題も治っています (スコア:3, すばらしい洞察)
難しく考えすぎです。
電源切った後、再起動すればパスワードなしでログイン画面は出せます。
要するにハードに直接アクセス可能な人ならrootユーザーを勝手に作れます。
Re:OS X 10.13.1 の root 問題も治っています (スコア:2, 興味深い)
Apple信者ってほんとにいるんだ。。
GUIログイン画面だって言ってんのに、パスワード無しで入れるものなのですかって
あんたもー何いってんだ
それともMacじゃログイン画面(ユーザID・パスワードの入力画面)にたどり着くために別のパスワード入れるのが当たり前の運用なの?
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
おそらくそのID持ちは過去記事みてなくて、脆弱性がログイン後の認証時のみだと思ってたんだろう
同一の脆弱性がログイン画面でもある、って知らないのかな。
まあ、元コメもよく確認せずにイキってるのはあれだが、なんでも信者認定するのはよくない。
むしろこれは信者ではなくただの情弱だ。
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
こんなはっきり指摘されて見えないってウッソだろ?
ちゃんと「見落としてました」ってちゃんと言えるのかなコイツ。
こんなコメントもしてる [srad.jp]し十分信者扱いでいいと思うけど。
というか信者で何が一番やばいかって、こうやって甘い知識で安全と思いこんだり安全と拡散する馬鹿スパイラルやってることでしょう。
その歯車としてガッツリ回っている以上、「悪しきApple信者」と同じ扱いでいいと思う。
ただApple製品が好きなだけのやつより質が悪い。
Re:OS X 10.13.1 の root 問題も治っています (スコア:2, すばらしい洞察)
モデレートの新たな種別として「ボンクラ」の必要性を訴えたいと思いました…
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
「信者」とボンクラを一緒にしてほしくないなぁ。
Re: (スコア:0)
そういや、アップル本体自身が、osxはウイルスに感染しないってcm出してたよなぁ。
この、アップルのcmに対する無謬性こそ信者の条件だと思ってた。
だからあなたの言い方を真似るなら、情強と信者を一緒にするな、だろ。
Re: (スコア:0)
Unix使いじゃ無いと知らないかも知れませんが、生のmacOSでもsshサーバーを起動できるので、CLIでログイン出来るのです。だからGUIログイン画面というのは通常のログイン画面です。
ログイン画面は、各ユーザーのセッションを起動する関係でroot権限を持ってます。macOSはsudoポリシーなので、rootではログイン出来ません。rootを有効にするにはシステム環境設定から面倒な手順が必要です。
ところがログイン画面でユーザー名をrootにしてばしばし叩くとrootが有効化され、パスワード無しでログイン出来るのです。
Re: (スコア:0)
「ログイン画面」 の意味すら分からない本物の馬鹿を始めて見た。
「パソコン立ち上げるのに、ログインするのに電源入れたらログイン画面出るだろうに」
簡単に言えば、
電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。
前のストーリーは。
Re:OS X 10.13.1 の root 問題も治っています (スコア:2)
一晩と半日でえらいもりあがってる。とりあえずこのコメントに返信しておきます。
> 簡単に言えば、
> 電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。
> 前のストーリーは。
少なくとも手元の検証環境では「ログイン画面でユーザーroot,パスワード未入力で常にログインでき」なかったので勘違いしていました。ログインボタンを一度押すだけではだめで、何度も押さないとダメなんですね。読み落としていました。申し訳ない。
> Anyone can login as "root" with empty password after clicking on login button several times.
# 「あらし」モデが 3回ついたのも初めてかも。
Re:OS X 10.13.1 の root 問題も治っています (スコア:2)
rootを入れて連打するっていうのが問題として非常に良い(?)ところ
知らないとぱっと気づかないが知ってればすごく簡単という…
ワンクリックで入れるならもっと早くに、上手くすればリリース前に、
気付かれていたでしょうなぁ
Re: (スコア:0)
> 言うほど被害は無いと思いますが
少なくとも紛失盗難端末はなすすべもなくroot権限プレゼント付きで完全にクラックされたわけですが
WIFIなどがつながらなくしておけばリモートからの強制消去なども届きません
Macの中身を使ったさらなる悪事の範囲まで含め、どれくらいの被害が出たか想像もできないレベルですよ
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
もしかしたら、FBIが仕事しやすくなるようにというAppleの思いやりなのかもしれない。
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
今回の問題をrootのパスワードを変更して回避していたユーザーが、アップデートしたらパスワードが通らなくなった(別のパスワードで上書きされた)そうですし、
本当にバックドアなのかもしれないですね。
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
バックドア仕掛けて隠そうとして失敗してた。
という杜撰な仕事が正解だったら嫌だなぁ。
Re: (スコア:0)
それはrootアカウントがデフォルト設定(無効化)に戻されただけだ。
バックドアならもうちょっと真面目に仕込んでるだろ。
Re: (スコア:0)
> rootなので、ディスクの暗号化も突破できる。
このバグを利用してroot権限を取るには、ユーザ名として「root」と入力できる状況にしないといけないというのが前提ですよね。
ディスクが暗号化されていると、起動時のログイン画面にはディスクの暗号化を解除できるユーザしか表示されません(rootは出てこないので選べない)。
危険なのは、ディスクが暗号化されていないMacや、すでにログインしているMacだと思っていたのですが、違うのでしょうか。
しかし、これだけHigh Sierraで変な脆弱性が発見されていると、面倒になるので設定していなかったファームウェアパスワードも、設定したほうがいいかなと思う今日この頃です。
Re: (スコア:0)
> UAC でクリックするだけの Windows 並みのセキュリティだったというだけでは。
さすがですなぁ... 訓練されてる。
Re:OS X 10.13.1 の root 問題も治っています (スコア:1)
しかも、UACクリックするだけですむのはもともとadmin権限持ってるユーザーだけなのに
美味しんぼ原作者といい、Apple信者は嘘をまき散らすことが仕事なのか
Re:OS X 10.13.1 の root 問題も治っています (スコア:2)
それは因果関係が違うんじゃないですかね
事実よりもフィーリングを大切にするタイプに
マックの一種情緒的な部分(スタイリッシュ!的な)がマッチして人気が出る、出た、んじゃないでしょうか
Re:OS X 10.13.1 の root 問題も治っています (スコア:2, フレームのもと)
Apple信者の仕事 -> 嘘をまき散らす
ではなく
事実を確認せず気分で喋る人 -> Apple好きになりやすい
ではないかと言ってるだけですが、
そんなに意味不明ですかね
Appleを攻撃してるとか擁護してるとかじゃないと理解できない?
# 割と攻撃してるような内容ですが
Re: (スコア:0)
この操作はログイン画面でも行えるそうで、そうすると勝手にシステム管理権限を持つ「root」アカウントが有効となり、rootユーザーでのログインに成功してしまうという。
そもそも前の記事時点でログイン画面からrootによるログインが出来ることが分かっているのに何言ってんだ?