JPCERTコーディネーションセンター(JPCERT/CC)は29日、macOS High Sierraの脆弱性について注意を喚起した。

  • アップル,mac,Apple

    macOS High Sierra

この脆弱性は、macOS High Sierra 10.13以降で「ルートユーザを無効にする」を設定している場合に、管理者アカウントである「root」(ユーザ名)として、パスワードなしでログインできてしまうもの。rootユーザは通常アクセスできない領域でも読み書きできる広い権限を持っており、デフォルトでは無効になっている。

JPCERT/CCでは検証を行い、この問題をmacOS High Sierra 10.13.1で確認。また、macOS Sierra 10.12.6では悪用できないことを確認したという。

同センターでは回避策として、rootユーザのパスワードを適切に設定することを挙げている。rootユーザのパスワード変更方法は、Appleのサポートページに記載されている。パスワードを設定後、「ルートユーザを無効にする」に再設定すると、再度rootユーザを悪用される恐れがあるため、注意したい。