「macOS High Sierra」のセキュリティパッチが緊急公開 〜パスワードなしで管理者に

「macOS High Sierra」向けのセキュリティアップデート（Security Update 2017-001）

　米Apple Inc.は29日（現地時間）、「macOS High Sierra」向けのセキュリティアップデート（Security Update 2017-001）を公開した。このアップデートでは、パスワードなしで管理者アカウントを有効化して利用できてしまう非常に深刻な脆弱性が修正されている。

　同社が公開したセキュリティ情報によると、「macOS High Sierra 10.13.1」のディレクトリユーティリティにはログイン情報の検証ロジックに不備があり、パスワードを入力せずに管理者認証をバイパスすることができてしまう。米TechCrunchなどの報道によると、システム環境設定の［ユーザーとグループ］セクション左下にあるロックアイコンをクリックしてロック解除ダイアログヘアクセスし、ユーザー名に“root”と入力して［ロックを解除］ボタンをクリックするだけで、パスワードなしに“root”（管理者）ユーザーが有効化され利用できるようになるという。

　この脆弱性はあらかじめ“root”ユーザーを有効にして適切にパスワードを設定しておくことで回避できる。しかし、“root”ユーザーは普段から使うことを想定したものではなく、必要のない場合は無効化することが推奨されているため、好ましい回避策とは言えない。できるだけ早くこのアップデートを適用することをお勧めする。

　なお、このセキュリティアップデートを適用すると、「macOS High Sierra」のビルド番号は“17B1002”となる。ビルド番号はバージョン情報ダイアログの［概要］セクションにあるバージョンナンバーをクリックすれば確認できる。

バージョン情報ダイアログの［概要］セクションにあるバージョンナンバーをクリックしてビルドナンバーが“17B1002”となっていることを確認

　また、「macOS Sierra 10.12.6」以前のバージョンは本脆弱性の影響を受けないとのこと。