macOS 10.13.2 High Sierraのシステム環境設定にパスワードが正しければユーザー名が無視され設定を変更できる不具合があるそうです。詳細は以下から。
現地時間2018年01月08日、米Meredith Corporationのシステム管理者として働いているEric Holtamさんが「macOS 10.13.2 High Sierraのシステム環境設定のApp Storeパネルはパスワードを入力しなくてもロック解除できる」という不具合[1, 2]をOpen Radarで公開しましたが、再検証のためこのRadarを再確認したところ12日付けでThuzerlandさんという方が以下の様なコメントを追加していました。
Also there is another bug with these lock/unlock elements in macOS High Sierra 10.13.2. Steps to reproduce:
- Log in as a local admin
- Open Security&Privacy pane from the System Preferences
- Lock the padlock if it is already unlocked
- Click the lock to unlock it
- Enter your password
- Change user name to ANY.
- Click to password field to apply changes to user name (one more little buggy)
- Press Unlock
rdar://36350507: AppStore Preferences lock is a lie – Open Radar
ANY PasswordからANY Nameへ
Thuzerlandさんのコメントは「パスワード入力後は、ユーザー名を任意に変えてもいい」というもので、初めは何を言っているか分かりませんでしたが、実際に検証してみたところ「システム環境設定の[セキュリティとプライバシー]のパネルは、ログインしている管理者のパスワードであればユーザー名は無視されてUnlockされる」という認証プロセスの不具合の様で、この不具合は[セキュリティとプライバシー]パネルにかかわらずユーザーパネルや起動ディスクパネルなど全ての設定で可能となっていました。
この不具合はOS X 10.11 El CapitanやmacOS 10.12 Sierraでは再現できず、現在Beta版が公開されているmacOS 10.13.3のBeta 4では既に修正されており、この不具合自体も管理者パスワードが分からなければ実行できないので深刻な脆弱性ではないと思われますが、
ログインユーザー名に「root」と入力するだけで任意のパスワードでシステム管理者としてログイン出来てしまう、#iamroot問題があったmacOS 10.13.1では再現できてしまったので、High Sierraユーザーの方はmacOS 10.13.3公開後は速やかにアップデートすることをお勧めします。
- rdar://36350507: AppStore Preferences lock is a lie – Open Radar
コメント
人材不足もあるのかな?
う〜ん、アチラを立てればコチラが立たず…
って問題じゃねぇぞ
何も立ってねぇ…
High Sierraはもう配信停止にした方が良いレベルの致命的バグが多すぎ。年に一回のメジャーアップデートは悪。
治らない病気
鍵の部分をロックにしておいても、再起動させるとロック解除状態に戻ってるよ!
酷過ぎる
近年稀に見る酷さ
おいフェデリギなんか言えコラ!
リギリギーリギー!!(鳴き声)
とりあえず今新しいMac買う気がまったくせんのだけど…
ダウングレードできるのかな?
「管理者パスワードが分からなければ実行できないので深刻な脆弱性ではない」
脆弱性というよりは単なるバグ。
伝統的 Unix / Windows で、root / administrator のパスワードがわかってしまったら管理者権限を入手できる。そして多くの場合 root / administrator の名称は変更されていない。
そのため「管理者パスワードがわかれば(ログイン中)ユーザー名に関係なく管理者権限を取得できる」よな。
けど、これを脆弱性とは一般には呼ばない。それとおなじだ。
Sierraに戻してて正解だった。
El Capitanだけど快適