macOS 10.13.2までのHigh SierraのApp Store設定がパスワード無しでロック解除される不具合が発見される。

スポンサーリンク

 macOS 10.13.2までのHigh SierraのApp Store設定がパスワード無しでロック解除される不具合が発見されています。詳細は以下から。


 Mac Rumorsによると、2018年01月10日現在で最新のmacOSとなる「macOS 10.13.2 High Sierra」のシステム環境設定 → [App Store]に設定されているロックが、任意のパスワード無しで解除される不具合を米Meredith Corporationのシステム管理者として働いているEric Holtamさんが発見し、Open Radarに登録したそうです。

Summary:
The AppStore Preferences in System Preferences can be unlocked by a local admin with any bogus password.

Steps to Reproduce:

  1. Log in as a local admin
  2. Open App Store Prefpane from the System Preferences
  3. Lock the padlock if it is already unlocked
  4. Click the lock to unlock it
  5. Enter any bogus password

Expected Results:
The authorization to fail.

Actual Results:
Authorization succeeds and grants access to change the AppStore preferences.

rdar://36350507: AppStore Preferences lock is a lie – Open Radar

スポンサーリンク

検証

 Eric Holtamさんは「不安を煽るような記事(FUD:Fear, Uncertainty and Doubt)が出てしまっているが、この問題はMacに直接アクセス出来るシステム管理者でなければ利用できず、加えてApp Storeの設定以外では再現できなかったと」コメントしており、

macOS 10.13 High SierraのApp Storeのシステム環境設定パネルで任意のパスワードを入力

システム管理者としてシステム環境設定アプリの[App Store]設定を開くと、デフォルトで設定変更の鍵がUnlockされているため、大きな問題にはならないと思われますが、macOS 10.13.2 Build 17C205では以上の通り、任意のパスワードで設定のUnlockが可能でした。

 この不具合は現在開発者やPublic Betaユーザー向けに公開されているmacOS High Sierra 10.13.3 beta 4 Build 17D34aでは既に修正され、High Sierra以外のmacOS(macOS 10.12.6 Sierra Build 16G1114など)では再現できませんでした。

動画内で打ち込んでいるパスワードは任意のパスワード(“Hogehoge”)です

おまけ

 ただし、High Sierraではユーザ名に「root」を利用することでパスワード無しに管理者としてMacにログインできる#Iamroot脆弱性が発見され、その後追加アップデートをリリースし、開発プロセスを見直すことを約束しましたが、

macOS 10.13 High Sierraでroot名を利用するだけでシステム管理者になれる脆弱性

その他にもログイン画面でパスワードエリアにフォーカスされていない段階でパスワードを入力すると、ロック中のMacのアプリにパスワードが入力されてしまう不具合などが確認されているため、開発者や元AppleのエンジニアRyan Jonesさんなどからもリリースサイクルや、QA(Quality Assurance)部門を見直したほうがいいといったコメントが出ているそうです。

追記

 ”Any Password”でなく、“No Password”でも可能でした。コメント欄でのご指摘ありがとうございます。

コメント

  1. 匿名 より:

    動画でパスワード入れてますが、パスワード無しでも解除されますよね?

  2. 匿名 より:

    この程度では驚かなくなった自分が怖い

  3. 匿名 より:

    これHigh Sierra.1のうちのMacだとロック解除できないよ