月刊脆弱性18/01 macOSでまたﾊﾟｽﾜｰﾄﾞ迂回の不具合

1 ：名称未設定：2018/01/11(木) 21:19:57.60 ID:ZV7PVqXj0.net

「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」
https://japan.cnet.com/article/35112998/

> 　パスワードなしでログインできてしまう「Mac」のバグがまた発見された。
> しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、コンピュータに少しいたずらされるだけで済みそうだ。

よかった、Appleの名声が落ちただけでユーザーへの被害は少ない。よかったよかった

> このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、懸念の声が上がるのは避けられないだろうが、
> この脆弱性を悪用されても、コンピュータを完全に乗っ取られることはない。

よかったよかった。

> 　2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、誰でもパスワードなしで
> Macにログインできることが明らかになった。これは、コンピュータ内のデータを泥棒や詮索好きな友達、家族、
> 同僚から守る最も基本的な防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、
> パスワードフィールドにどのような文字を入力しても、システム環境設定の「App Store」設定のロックを
> 解除できることが報告された。ただし、管理者としてログインした場合に限られるという。

よかった。パスワードの意味がないだけでユーザーは守られてる
なぐられるのはアップルだけや

> 　米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」（10.13.2）を搭載するMacで、
> App Storeの設定のパスワードフィールドに適当に文字を入力してみた。すると、本当にロックを解除できた。


すると、本当にロックを解除できたw 信じられない！すると、本当にロックを解除できた！びっくりだよ！

2 ：名称未設定：2018/01/11(木) 21:36:43.74 ID:lCjds/xW0.net

ふがいない

3 ：名称未設定：2018/01/11(木) 21:54:51.89 ID:upET71p60.net

酷すぎる。macOSの開発チーム、まともなのがいないんだろうな。

4 ：名称未設定：2018/01/11(木) 22:35:22.26 ID:f+lSEaeN0.net

クソワロタ

5 ：名称未設定：2018/01/12(金) 00:39:31.40 ID:14jttsKU0.net

パスワード入力のダイアログっていう共通のルーチンを
呼び出すわけじゃないのかね

6 ：名称未設定：2018/01/12(金) 12:21:57.58 ID:8dkDMQdx0.net

バックドア作りに失敗したのかな？

7 ：名称未設定：2018/01/12(金) 12:28:46.94 ID:n+OuvUR90.net

来月はどんなミスやらかしてくれるんでしょう？

8 ：名称未設定：2018/01/13(土) 02:41:11.83 ID:Rxg1a+Rq0.net

他人のIDでAppストアで買い物しまくれるんちゃうか？

9 ：名称未設定：2018/01/14(日) 20:27:19.97 ID:WtRAlBbw0.net

今度はパスワードが正しければユーザー名は任意だとか。

ホント滅茶苦茶だな。もう何が起こっても驚かんわ。

10 ：名称未設定：2018/03/11(日) 07:41:19.51 ID:jVK7o6Kd0.net

サードパーティーアプリが簡単にMacをスパイできる脆弱性が報告される
https://www.lifehacker.jp/2018/03/app-developpers-can-spy-on-mac-computer-through-mac-apps.html

11 ：名称未設定：2018/03/29(木) 13:59:38.11 ID:opHEBRCd0.net

macOS High Sierra、APFSのパスワードを平文で表示してしまうバグ
https://pc.watch.impress.co.jp/docs/news/1114015.html

12 ：名称未設定：2018/04/25(水) 15:25:57.47 ID:vIZsFvLY0.net

iOSとmacOS、Safariの更新版リリース　WebKitなどの脆弱性を修正
http://www.itmedia.co.jp/enterprise/articles/1804/25/news098.html