FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

MacOSに誰でもパスワード無しでrootにログイン出来る脆弱性が報告される

やっぱりアップルはやってくれました。

macOS最新版に深刻な欠陥 ~ NHK NEWS WEB
欠陥が見つかったのは、アップルの基本ソフト「macOS」のうち、ことし9月から提供が始まった「High Sierra」と呼ばれる最新版です。
この基本ソフトを巡り、日本時間の28日、「ユーザーの名前に『root』と入力すると、パスワードがなくても誰でもログインできてしまう」と深刻な欠陥を指摘する声がインターネット上であがりました。
NHKが試したところ、設定変更の画面でパスワードを空欄にしたままIDに「root」と入れると、所有者が設定したIDやパスワードではないのに、さまざまな設定を変更できることが確認されました。

速報:High Sierra Macに重大バグ――当面Macを放置してはいけない ~ Techcrunch
われわれが実験したところではどのパネルからでもユーザー名を入力する窓であれば“root”と打ち込みさえすればMacは即座に新しいシステム管理者アカウントを作成するようだ。ただし10.13(17A365)マシンでは動作しない。しかしこちらには各種のつまらぬプレインストールソフトが入っていて悪さをする可能性がある。

「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性 ~ CNET JAPAN
 「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
 「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。

セキュリティーホールとかそういう甘いものではなく、誰でもrootアカウントを取得できるという、
とんでもない大バグです。

まさかのNHKのニュースでもやっておりました。
NHKはアップル好きのスタッフがいるのでしょう。
ROOTと入れればログイン出来る事しか言わず、管理者権限で何でもできるアカウントで
あることなどには触れませんでした。

まあ日本のテレビ局はそういうスタッフがそこら中にいるのでしょう。
何かあるごとにアップルのリングマークを映すのに必死な状況ですからね。



Windowsの脆弱性が・・・とか。
Androidの脆弱性が・・・とか。

とにかくアップル製品が安全であり、汎用性の高い競合製品は脆弱性も高いという
刷り込みが行われている。

アップルも一時期はそのセキュリティーに自信が有ったようで、公の場でGoogleの
人間をAndroidは脆弱性が多いという方向で貶したことが有ります。
しかし今はそれをしません、というかできません。

iOSもMacOSも、大量に脆弱性が見つかっているからです。
しかもかなり致命的な欠陥が多数含まれています。

必死で頑張って塞いでいるのは分かりますが、しかし下手に競合を貶すと
「おまいう」になってしまうので、決してセキュリティーの話題にはアップル側から
触れる事は無くなりました。


それでも最近はアップル製品のセキュリティー問題が発見され報道されてしまう始末。
MacOSもiOSも穴だらけですからね。

しかもiOSはその脆弱性の多さを表すように、不具合の多さが目立ちます。
iPhone X向けのiOS 11なんて悲惨そのものですしね。



あーあ。

当ブログ記事
2015年のソフトエアの脆弱性でアップルが1位,2位を独占で脆弱天国を確立
KRACKsの脆弱性が修正されるのはiPhone 7以降、一年半前に発売のSE以前は修正されないままに
アップルがiOS 7で極めて深刻な脆弱性を多数修正、iOS6が穴だらけと言わんばかりの状態に



追記11/30
あーあ2。
当ブログ記事
【大バグ・深刻】iPhone/MacOSXにセキュリティーに大穴、SSL証明書が偽物でも「正しい」と判断し盗聴し放題、それを大したことないとこっそりとiOSを修正してダンマリ、OSXはまだ未修整


関連記事
  1. 2017/11/29(水) 19:41:22|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:20
<<【Android Developers】更なる入れ替わり、Marshmallow→Nougat | ホーム | iPhone Xを3キャリアとも予約してみた、一番遅かったドコモですら12月入荷予定→11月23日入荷という前倒しの結果に>>

コメント

さすが、速いですね。
確かに「おまいう」な展開になっています。
まぁ売れてないですし、売る気もないものだから、このまま消滅しても誰も困らないでしょうね。
  1. URL |
  2. 2017/11/29(水) 20:09:05 |
  3. 9SUXEN #22s72cIM
  4. [ 編集]

これ、かなり条件は狭くなってしまうでしょうけどiOSのパスコード6桁以上で英数字可の時にiOSのrootパスワードの「alpine」を入力したら解除されちゃったりしてw
iOSはマルチユーザーに対応していないので大丈夫だと思うますけどねw
  1. URL |
  2. 2017/11/29(水) 22:08:58 |
  3. Nexus7持ち #-
  4. [ 編集]

さすがに対応が早かったですね。

放っておいたらリモートでもroot取り放題だったようで...
https://applech2.com/archives/20171129-high-sierra-root-address-issue-through-remote-desktop.html

rootを有効化してパスワード設定しておいても、rootを無効化したらパスワード無しで再度ログインできるようになるって...

いや、こういう不具合がちょくちょく見つかると、普通は疑心暗鬼になるものですが、信者はそれでも付いていきますかねぇ?

Appleユーザ ≒ セキュリティホール

って言われかねない。
  1. URL |
  2. 2017/11/30(木) 10:38:59 |
  3. 生ぴーまん #bnistvpo
  4. [ 編集]

Appleユーザーは昔の「Macにはウィルスとかないから安全」神話を未だに引きずってるから。

その頃は「ウィルス作る連中が見向きするほど売れてなかった」からウィルスなかっただけなんだけどね。
  1. URL |
  2. 2017/11/30(木) 12:31:07 |
  3. にいくら #mQop/nM.
  4. [ 編集]

すぐに直してくれるだけ、メーカー放置食らうAndroidよりはマシだな。
  1. URL |
  2. 2017/11/30(木) 18:08:01 |
  3. らむだ #-
  4. [ 編集]

直すから致命的でもおkです
アホかな
  1. URL |
  2. 2017/11/30(木) 21:02:57 |
  3. 通りすがりん #-
  4. [ 編集]

次は、iOS11以降で「it」が「I.T」、「is」が「I.S」に自動修正される問題が発生中らしいですね。
  1. URL |
  2. 2017/11/30(木) 23:56:54 |
  3. none #kpjYxc8I
  4. [ 編集]

> 直すから致命的でもおkです

おお、素晴らしい忠誠心ですね!!

私の個人的なイメージは韓国の第2ロッテワールドタワーが近いかしら?
次々と致命的な不具合が見つかっているけど、パッチ当てて安全宣言!
どうぞどうぞ、ご遠慮なく!
  1. URL |
  2. 2017/12/01(金) 11:39:07 |
  3. 生ぴーまん #bnistvpo
  4. [ 編集]

これって誰かが公にしなかったら知らぬまま放置されててもおかしくないですよね?それでも修正してくれるからいいと言うのはちょっと違いませんかね?
アップルのOSって根っ子に潜在的なバグがずっとあるのに一から作り直す事なくガムテープで穴を塞いで済まそうとする感覚なんですよね。
遠からず行き詰まると思いますがそれでも見た目修正してくれるからいいと言うならまさしく宗教ですね。
  1. URL |
  2. 2017/12/01(金) 13:19:36 |
  3. 空耳 #-
  4. [ 編集]

iPhoneが勝手に再起動を繰り返す不具合が突然発生中?(2017年12月2日深夜0時すぎ発生)
http://did2memo.net/2017/12/02/iphone-ios-11-auto-restart-bug/

appleタイマー?
前にも日付周りのバグで文鎮化とかあったよね
  1. URL |
  2. 2017/12/02(土) 09:40:21 |
  3. Nexus7持ち #-
  4. [ 編集]

バグ発覚前 泥はウイルスガー
バグ発覚後 パスワードを入れなくても使える、やっぱりiPhoneは親切だ!
こうですか?わかりません
  1. URL |
  2. 2017/12/02(土) 12:19:39 |
  3. Beep #Hble4PXk
  4. [ 編集]

>>Nexus7持ちさん
アプリ側の起因らしいです。
特定の条件で通知を出すと起こる。
もっとも、OSの機能(API?)である「通知」を出すだけで再起動するOSもOSですが。
複雑化が進むiosという事情があるとはいえ、ジョブズ没後のアップルは品質を求められるべくもなく、です。

ハードウェアごとのアップデートサポートを長くした弊害として開発リソースが圧迫され、品質がばらつき、バグが増えているのかもしれません。
いっそのこと3(年未満)モデル前をもって切ったほうがよほど開発に集中できるのかも。
今だと6s(SEも)までをすべて切る。
7と8、xは発売3年未満だからサポート、と。

あ、バッサバッサ切られても信者は「なんて効率的なんだ」と絶賛してくれよな。
  1. URL |
  2. 2017/12/02(土) 13:13:45 |
  3. 9SUXEN #22s72cIM
  4. [ 編集]

>>9SUXENさん
アプリの通知が再起動の引き金になっているのは間違いないですけど、iOS11.1.2が配布されたのは11/17ですからね
配布直後なら繰り返し設定のあるローカル通知を使ったアプリとの相性とかありますけど、12/2になった途端に発動ですから日付周りのバグが起因かと

あとは日本時間の12/2 0時からと言うことなのでUTCじゃなくてタイムゾーン含めて内部の日付で発生するのかなと
これが起因なら現在時間ですとアメリカが12/2 1:30ぐらいですのでぼちぼちアメリカから報告が上がってくる頃かなと
  1. URL |
  2. 2017/12/02(土) 15:23:02 |
  3. Nexus7持ち #-
  4. [ 編集]

>>9SUXENさん
Nexus7持ちさんの投稿に有るリンク先を見るとアプリ側が原因ではないようです。
緊急対応しているアプリはiOSのバグが有る機能を使わないようにしているだけじゃないかと...
  1. URL |
  2. 2017/12/02(土) 15:41:42 |
  3. YASU #eAb5nx9M
  4. [ 編集]

iOSのローカル通知でrepeatIntervalを設定してる場合にspringboardがクラッシュ。と言う情報があります。
  1. URL |
  2. 2017/12/02(土) 22:19:44 |
  3. none #kpjYxc8I
  4. [ 編集]

Apple Seeds Sixth Beta of iOS 11.2 to Developers and Public Beta Testers
Friday December 1, 2017 10:05 am PST by Juli Clover

https://www.macrumors.com/2017/12/01/apple-seeds-ios-11-2-beta-6-to-developers/

MacRumorsでiOS11.2 BETA6が配信されたと記事になったのが2017/12/01 10:05AM
配信直後に記事にしたのであれば、日本ではちょうど12/02 0:00時辺り
このBETA6で送金サービスとか追加になったみたいなのでこのために鯖を調整して12/02で発動の原因でもやらかしてしまったのかな?って思えなくもない
BETA6配信後24時間もたたずに正式版として配布されるという突貫ですからね
  1. URL |
  2. 2017/12/02(土) 23:58:23 |
  3. Nexus7持ち #-
  4. [ 編集]

【注意】macOSのアップデートに漏れ!脆弱性のあるバージョンがインストールされる
https://iphone-mania.jp/news-195894/

>macOS High Sierra 10.13.1の重大な脆弱性は、Appleが既にセキュリティパッチを公開して対策済みですが、macOS 10.13から10.13.1に最近アップデートした場合、脆弱性が残ったままのバージョンにアップデートされてしまうことがわかりました。

この記事で取り扱っていたrootバグの続報
更新した「つもり」にしかならない人がいるから注意だってさ
  1. URL |
  2. 2017/12/03(日) 08:17:32 |
  3. Nexus7持ち #-
  4. [ 編集]

グダグダすぎる。
  1. URL |
  2. 2017/12/03(日) 08:45:45 |
  3. 9SUXEN #22s72cIM
  4. [ 編集]

> これって誰かが公にしなかったら知らぬまま放置されててもおかしくないですよね?

この不具合って、元々2017/11/13にデベロッパー公式フォーラムに投稿されていたんだってね。
https://applech2.com/archives/20171129-high-sierra-root-vulnerability-on-dev-forum.html

まぁ、この時は「脆弱性」として認識されていなかったようですが、センス悪すぎじゃ無いですか?
普通は「ピーン」と来る物だと思いますが。

まぁ、Twitterに投稿した人はもしかして、これにピーンときて確かめたら... って感じだったのかも?
  1. URL |
  2. 2017/12/04(月) 10:17:14 |
  3. 生ぴーまん #bnistvpo
  4. [ 編集]

https://forest.watch.impress.co.jp/docs/serial/newsbymdn/1094964.html
信仰心がためされますな
  1. URL |
  2. 2017/12/05(火) 12:31:05 |
  3. Beep #-
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/7355-0c7d0cbb
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。