Mac OSX High Sierra の重大な脆弱性対策を施したはずなのに…復活したことを調べてみた!!

すでに報告していあるが、3回にわたってMac OSX の重大な脆弱性「ユーザー名"root"&パスワードなしで権限付きでログインできてしまう」についてレポートしてきたが、今回はこの問題が再発した件をまとめる。

11/28に最初にこの脆弱性が発見されてから、翌日にはAppleから公式な修正パッチがリリースされた。この結果、脆弱性の対応は施されたが…

とある方法で、脆弱性が復活してしまうことが新たに発見された!

ネタ元は以下より


Appleが提供している"root"セキュリティが出てきた?3人から、"High Sierra 10.13.1"へ更新すると、再び修正箇所が破壊されていると教えられました。
パッチを適応しただけでの場合、まだその問題は残存していて、再起動するまで継続されます。

脆弱性の復活は OS アップデートで「再発」する!!

Max OSX High Sierraは、以下の2バージョン存在している。

  1. 10.13.0 : リリース当初
  2. 10.13.1 : 現時点の最新

今回の再現は、上記の 1. から 2. へOSバージョンを更新した際に発生する!!
当初の問題は上記いずれのバージョンにあっても影響するため、10.13.0へも修正ソフトウェアの適応が必須になる。この修正ソフトを適応することで、脆弱性は塞ぐことができるが…"AppStore" では引きつづき、「10.13.1」への更新が促される。

"10.13.1"へアップデートしてしまうと、脆弱性の穴が再び空いてしまい、修正ソフトを適応しさらに再起動が必要となる!! OSのアップデートによって、再起動が促されないため脆弱性の修正ソフトを適応しても、適応が不十分となってしまうのである。

ユーザーによっては、再起動が促されない限り、長期間再起動を実施しない場合もあるため、この点は非常に危険であると言える。対策したつもりで、過ごしてしまうのである。

このレポートを読んで、気になる人は一旦PCの再起動をオススメする。

問題発生から一週間。

そろそろこの問題も集結することを希望したい…