Apple、macOSの重大なセキュリティー欠陥を修正するアップデートを公開

AppleはmacOS High Sierraのセキュリティー問題を修正するアップデートを公開した。該当する人は今すぐアップデートすべきだ(Appleは今日中にこのセキュリティーパッチを自動的にプッシュ配信する予定)。このアップデートは、昨日発覚した誰でもパスワードなしで他人のMacにログインできる、という極めて深刻な脆弱性を修正するものだ

アップデートをインストールするには、Mac App Storeを開き、「アップデート」タブをクリックすればよい。リリースノートに「このアップデートはできるだけ早くインストールしてください」と書かれているのが興味深い。Appleは夜遅くまで作業してこの問題を修正した。しかし、そもそも起きてはならないことだった。

このセキュリティー欠陥はHigh Sierraの最新バージョン(少なくとも10.13.1 — 17B48以降)が動作している全Macに影響を及ぼした。ログイン画面または設定パネルのセキュリティー画面で、ユーザー名をrootにしてパスワードを入力しないと侵入できてしまう。TechCrunchで複数の人間が試したところ容易に再現できた。それ以降は自分のものではないコンピューターのすべてを見ることができる。画面共有セッションの中でもこの方法は使える。ハッカーにとって、他人のメールや個人データをアクセスする最高の方法といえる。

このアップデートのリリースノートはごく短い。「認証情報の検証に論理的エラーがあった。検証方法を改善して解決した。」とAppleは書いている。

アップデート:Appleは影響を受けている全ユーザーに対して、本日中にこのアップデートを自動的に送信する。同社は以下の声明を発表した。

「安全性はApple製品にとって最優先課題であり、macOSのこのリリースで問題をおこしたことをお詫び申し上げる。

当社のセキュリティー担当技術者は、火曜日(米国時間11/28)の午後に問題を認識した直後に、このセキュリティーホールを埋めるアップデートの制作に取りかかった。本日午前8:00からアップデートはダウンロード可能であり、今日からmacOS High Sierraの最新バージョン(10.13.1)が動作している全システムには自動的に修正が適用される。

今回の問題を深く反省し、全Macユーザーに対して、脆弱性のあるシステムを公開してまったことおよび心配をかけたことをお詫びする。当社の顧客にとってあってらならないことだった。ふたたびこのようなことが起きないよう、現在開発プロセスを見直している。」

[原文へ]

(翻訳:Nob Takahashi / facebook