AppleはHigh Sierraのroot脆弱性に対処するため、2014年のNTPD脆弱性修正時に1度だけ利用した自動アップデートを適用するもよう。

スポンサーリンク

 AppleはHigh Sierraのroot脆弱性に対処するため、2014年のNTPD脆弱性修正時に1度だけ利用した自動アップデートを適用するようです。詳細は以下から。

FileVaultのアイコン

 Appleは現地時間2017年11月29日、macOS 10.13.1 Build 17B48までに存在するユーザー名に「root」を入力することにより、パスワード無しに管理者アカウントでログインできてしまう脆弱性CVE-2017-13872に対応するため「Security Update 2017-001」をリリース[1, 2]しましたが、

Security Update 2017-001 macOS High Sierra v10.13.1

Daring FireballのJohn GruberさんらAppleの広報から連絡を受けた方々によると、Appleはこの脆弱性を修正するため2012年にMac OSに導入され、その後2014年12月に「NTPDが不正に細工されたパケットを受け取るだけでBuffer Overflowに陥り任意のコードが実行される」という脆弱性”CVE-2014-9295″に対し利用された自動アップデートを適用するようです。

To my memory, this is only the second time Apple has used MacOS’s automatic — that is to say, non-optional — update mechanism. The other was the NTP Security Update in 2014, that affected Mac OS X 10.8 through 10.10.

Apple Releases Fix for High Sierra Root Login Bug – Daring Fireball

スポンサーリンク

Mac OSの自動アップデートについて

 Mac OS X/macOSの自動アップデート機能は通常XProtectやGatekeeperのデータベースなど比較的小さなデータのロールアウトに利用されますが、Appleは今回のセキュリティ問題を重要視しており

Mac OSの自動アップデート

アメリカ国土安全保障省のキュリティ機関であるUS-CERTも同日にこの脆弱性に注意するよう勧告を出しています。(High Sierraのroot脆弱性に対するCVSS基本値は7.2で、2014年のNTPD脆弱性は7.5となっており、どちらも深刻度は「危険」となっています)

 自動アップデートはロールアウトからインストールまで自動で行われ、インストールが終了すると以下の様に「セキュリティ・アップデートのインストールが完了しました」という主旨の通知が表示されるはずですが、Appleは既にこのアップデートをMac App Storeおよび公式サイトで配布しているので、High SierraのMacを利用されている方は自動アップデートを待たずにアップデートすることをお勧めします。

Appleの自動アップデート通知

追記

 今回のアップデートはセキュリティ・アップデートがあることを知らせる通知が先に表示されるようで、これではAppleの説明”it will be automatically installed on all systems”と違うので、今後通知を無視し続けると自動アップデートが適用されるのかもしれません。

macOS 10.13.1 Security Update 2017-001