MacRumorsの報道によると、AppleのMac用で現行の最新正式版OS、macOS High Sierra 10.13.2において、App Storeのシステム環境設定で、設定をロックしていても、任意のパスワードでロック解除ができ、設定変更ができてしまうバグが発見されました。
再現方法は非常に簡単で、以下の通りです。
- システム環境設定>App Storeをクリック
- 左下の鍵アイコンが、鍵がかかった状態にする
- 鍵アイコンをクリックし、ユーザ名とパスワードを入力する際、パスワードを適当に入力する
- ロックを解除ボタンを押すと、どんなパスワードでも解除できてしまう
私も自身のmacOS 10.13.2が搭載されているMacBook Pro(Mid 2014)で上記の操作をやってみましたが、本当にどんなパスワードでも解除できてしまうことを確認しました。
上記の問題について、Appleは正式に謝罪をしています。
AppleはmacOS 10.13.1の際にも、管理者(Administrator、Superuser)アカウントがパスワードなしでログインできてしまう重大なバグがあり、追加セキュリティアップデートで慌てて問題を修正したという苦い経験がありました。
今回の問題は上記の管理者アカウントにパスワードなしでログインできてしまうほどの危険性はないものの、やはりどんなパスワードでも通ってしまうというのは重大なバグと言わざるを得ません。
Appleは更にmacOS 10.13.2用の追加セキュリティアップデートをリリースするのか、或いは次のmacOS 10.13.3の正式リリースのタイミングで修正するのかわかりませんが、いずれ修正してくるのは間違いありません。ちなみにmacOS 10.13.3のベータ版ではこの問題が既に修復されています。
しかし最近のAppleのOSにはセキュリティ関係のバグが多いですね。。
記事は以上です。
(記事情報元:MacRumors)