macOS 10.13.2までのHigh SierraのApp Store設定がパスワード無しでロック解除される不具合が発見される。

　macOS 10.13.2までのHigh SierraのApp Store設定がパスワード無しでロック解除される不具合が発見されています。詳細は以下から。

　Mac Rumorsによると、2018年01月10日現在で最新のmacOSとなる「macOS 10.13.2 High Sierra」のシステム環境設定 → [App Store]に設定されているロックが、任意のパスワード無しで解除される不具合を米Meredith Corporationのシステム管理者として働いているEric Holtamさんが発見し、Open Radarに登録したそうです。

Summary:
The AppStore Preferences in System Preferences can be unlocked by a local admin with any bogus password.

Steps to Reproduce:

1. Log in as a local admin
2. Open App Store Prefpane from the System Preferences
3. Lock the padlock if it is already unlocked
4. Click the lock to unlock it
5. Enter any bogus password

Expected Results:
The authorization to fail.

Actual Results:
Authorization succeeds and grants access to change the AppStore preferences.

rdar://36350507: AppStore Preferences lock is a lie – Open Radar

検証

　Eric Holtamさんは「不安を煽るような記事(FUD:Fear, Uncertainty and Doubt)が出てしまっているが、この問題はMacに直接アクセス出来るシステム管理者でなければ利用できず、加えてApp Storeの設定以外では再現できなかったと」コメントしており、

システム管理者としてシステム環境設定アプリの[App Store]設定を開くと、デフォルトで設定変更の鍵がUnlockされているため、大きな問題にはならないと思われますが、macOS 10.13.2 Build 17C205では以上の通り、任意のパスワードで設定のUnlockが可能でした。

　この不具合は現在開発者やPublic Betaユーザー向けに公開されている「macOS High Sierra 10.13.3 beta 4 Build 17D34a」では既に修正され、High Sierra以外のmacOS(macOS 10.12.6 Sierra Build 16G1114など)では再現できませんでした。

おまけ

　ただし、High Sierraではユーザ名に「root」を利用することでパスワード無しに管理者としてMacにログインできる「#Iamroot」脆弱性が発見され、その後追加アップデートをリリースし、開発プロセスを見直すことを約束しましたが、

その他にもログイン画面でパスワードエリアにフォーカスされていない段階でパスワードを入力すると、ロック中のMacのアプリにパスワードが入力されてしまう不具合などが確認されているため、開発者や元AppleのエンジニアRyan Jonesさんなどからもリリースサイクルや、QA(Quality Assurance)部門を見直したほうがいいといったコメントが出ているそうです。

追記

　”Any Password”でなく、“No Password”でも可能でした。コメント欄でのご指摘ありがとうございます。

• rdar://36350507: AppStore Preferences lock is a lie – Open Radar
• macOS High Sierra’s App Store System Preferences Can Be Unlocked With Any Password – MacRumors