Apple、macOS 10.13 High Sierraでユーザ名「root」を利用することでパスワード無しに管理者権限を得ることが出来る脆弱性を修正した「Security Update 2017-001」をリリース。

　AppleがmacOS 10.13 High Sierraでユーザ名「root」を利用することでパスワード無しに管理者権限を得ることが出来る脆弱性を修正した「Security Update 2017-001」をリリースしています。詳細は以下から。

　Appleは現地時間2017年11月29日、macOS 10.13.1までのHigh Sierraでユーザ名に「root」を利用することでログインウィンドウでパスワード無しにシステム権限が得られる脆弱性CVE-2017-13872を修正した「Security Update 2017-001」を公開しています。

Security Update 2017-001をすべてのユーザに推奨します。このアップデートを適用すると macOS のセキュリティが向上します。

このアップデートのセキュリティコンテンツについて詳しくは、次のWebサイトを参照してください：https://support.apple.com/ja-jp/HT201222

リリースノートより

　このアップデートは定例のセキュリティ・アップデートではなく、追加アップデートである「Supplemental」として配布されており、High Sierraで追加アップデートが配布されるのは「macOS High Sierra 10.13追加アップデート」に続き2回目となります。

Security Update 2017-001
Released November 29, 2017
Directory Utility

• Available for: macOS High Sierra 10.13.1
• Not impacted: macOS Sierra 10.12.6 and earlier 
• Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password
• Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.
• CVE-2017-13872

About the security content of Security Update 2017-001 – Apple Support

　脆弱性CVE-2017-13872はmacOS 10.12 Sierra以前のmacOSには影響を与えないためSecurity Update 2017-001はHigh Sierra専用でMac App Store経由でアップデート可能なので、High Sierraへアップグレードされた方は必ずアップデートするようにして下さい。

追記

　この「Security Update 2017-001」はMacの再起動は必要なく、パッチが確実に適用されればmacOS 10.13.1のBuild Numberが「17B48」から「17B1002」へアップデートされるので、アップデートを適用させた方はAppleメニューの[このMacについて] → [バージョン 10.13.1]のエリアをクリックしてBuild Numberを確認してみて下さい。

When you install Security Update 2017-001 on your Mac, the build number of macOS will be 17B1002. Learn how to find the macOS version and build number on your Mac.

About the security content of Security Update 2017-001 – Apple Support

追記

　Appleは「Security Update 2017-001」適用後にファイル共有が利用できない問題があるとして、macOS 10.13.1 Build 17B1003となる「Security Update 2017-001」をリリースしています。

• About the security content of Security Update 2017-001 – Apple Support