X
【脆弱性】 「パスワード入力欄に適当に文字を入力してみた。すると本当にロックを解除できた。」
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:22:28.71ID:???
「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」
https://japan.cnet.com/article/35112998/

> 米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」(10.13.2)を
>搭載するMacで、App Storeの設定のパスワードフィールドに適当に文字を入力してみた。
>すると、本当にロックを解除できた。
0002名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:22:56.07ID:???
 パスワードなしでログインできてしまう「Mac」のバグがまた発見された。
しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、
コンピュータに少しいたずらされるだけで済みそうだ。
0003名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:23:11.54ID:???
 このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、
懸念の声が上がるのは避けられないだろうが、この脆弱性を悪用されても、
コンピュータを完全に乗っ取られることはない。
0005名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:23:30.45ID:???
 2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、
誰でもパスワードなしでMacにログインできることが明らかになった。これは、
コンピュータ内のデータを泥棒や詮索好きな友達、家族、同僚から守る最も基本的な
防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、パスワードフィールドに
どのような文字を入力しても、システム環境設定の「App Store」設定のロックを
解除できることが報告された。ただし、管理者としてログインした場合に限られるという。
0006名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:24:44.55ID:???
アップルに相次ぐOSのバグは、その信頼と品質に「黄信号」を灯す──専門家たちが指摘する「根深い問題」
http://news.livedoor.com/article/detail/14136272/

どんなソフトウェアにも欠陥はある。いくら入念にチェックしていても完全にはなくならない。
だから問題は、完璧なコードを作成することではなく、間違いを見つけたときにどう対応するかだ。

アップルはセキュリティに関して確固たる評判を得てきたものの、「macOS 」と「iOS」で
相次いで発見された重大な脆弱性により、アップルのセーフティーネットはほころび始めている。
一部のセキュリティ研究者や開発者は、この問題はアップル全体にかかわることかもしれないと疑問を抱き始めた。
0007名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:25:04.84ID:???
この1年で相次いだ重要な修正アップデート
2017年9月25日(米国時間)にアップルが発表した「macOS High Sierra」
のリリースを例に挙げよう。アップルは、10日以内に2つの重大なバグを
修正しなければならなくなった。まず1つが、第三者のアプリを使用すると
キーチェーンから認証情報を盗み出せるという問題。そして2つ目は、
暗号化されたApple File System(APFS)ヴォリュームのパスワードのヒントが、
パスワードをプレーンテキストで表示するという不具合だ。
0008名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:25:20.65ID:???
その後11月末には、「root」と入力するだけで、Macで稼働しているHigh Sierraに
誰でもルートアクセスできることを、セキュリティ研究者たちが公表した。
このバグはあまりにも目立つものだったため、アップルは1日もたたないうちに
修正プログラムを発表した。これほどの大企業にしては驚異的な速さだった。
0009名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:25:45.53ID:???
最初の「root」バグ事件後に、アップルは『WIRED』US版に次のような
声明を出した(アップルがこうした“告白”をすることは珍しい)。

「セキュリティはすべてのアップル製品にとって最優先事項ですが、
残念なことにこのmacOSのリリースではミスをしてしまいました。
わたしたちは今回のミスを非常に遺憾に思っており、すべてのMacユーザーに
対してこのような脆弱性のあるソフトウェアをリリースしてしまったことと、
心配させてしまったことの両方をお詫びいたします。今後は開発プロセスを厳しく検査し、再発防止に努めます」

だが、この修正プログラム自体に重大なバグがあった[日本語版記事]。
テスト時間をほとんど取れなかったことを考えれば驚くには当たらない。
0010名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:26:02.97ID:???
この問題はmacOSだけでなく、アップルのプラットフォーム全体で
次々と起きるソフトウェアの一連のトラブルのリストに名を連ねることになった。
17年全体を通して、アップルは問題のあるバグを数多く修正しているのだ。
0011名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:26:21.33ID:???
iOS 10では数十個のバグを修正。5月には、アップルのすべてのOSとサーヴィスに
影響を与える衝撃的なアップデートで、66個の固有の脆弱性を修正した。
これらの脆弱性のいくつかは遠隔でも実行可能であり、ハッカーはデヴァイスに
物理的にアクセスしなくても脆弱性を悪用できる状態だった。
0012名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:26:30.50ID:???
さらに12月の第2週、Homekitのリモート脆弱性に対するiOS 11の修正プログラムをリリースした。
この脆弱性を悪用するのは簡単ではないが、意欲的なハッカーならドアロックなどの
重要なスマートホーム機器に不正アクセスできるものだった。
0013名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:26:45.76ID:???
拡大するプラットフォームとスケジュールが負担に?

アップルが提供するセキュリティは、ほとんどの評価基準において
その競争相手よりも優れている。だがセキュリティ研究者たちは、
今回のような脆弱性の増加は根深い問題を示唆している可能性があると述べる。
0014名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:27:16.54ID:???
複数の研究者が品質保証検査プロセスの問題を指摘し、徹底的に評価するための人的資源か、
明確な指示のいずれかが不足していたのではないかと推測した。アップル自身は、
問題があったのは「開発プロセスの検査」だと述べている。

審査と検査の問題を示唆しているようだが、同時に研究者たちが指摘しているほかの
懸念事項を示しているようにもとれる。それは、12カ月ごとに刷新した
ソフトウェアをリリースするという、アップルにとってのプレッシャーだ。
0015名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:27:38.89ID:???
Malwarebytes Labsの脅威追跡・分析部門でMacとモバイルの責任者を務める
トーマス・リードは次のように語る。「アップルにはこれまでも問題はありましたが、
そのことで責められるわけではありません。バグの問題には遅かれ早かれ誰もが
遭遇することになるからです。しかし、11月などが異常だったのはバグの数です。
明らかにそこには何かがあります。現時点では偶然では説明できません。
これほど多くのバグがHigh SierraとiOS 11に見つかっているからには、
アップルは何らかの理由でこれらのリリースを急いでいて、公開の準備が
十分にできていない時期尚早の段階で発表したのではないかと疑わざるを得ません」
0016名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:27:59.27ID:???
「安定」を誇ったOSも今は昔
昔からMacを利用してきた専門家のなかには、09年に発売されたアップルの
「OS X 10.6 Snow Leopard」のようなリリースを懐かしむ人もいる。
07年に鳴り物入りで発表された機能満載のLeopard(10.5)を、じっくりと成熟させたヴァージョンだ。

「Snow Leopardは、非常に良好で安定したリリースでした。本当に長い時間を
かけてバグが修正されたからです」とリードは述べる。「現時点でもアップルは
同じことをすべきです。最近ではどのリリースも、かなりの重点を新機能に
置いていますが、次のリリースでは新機能のペースを少し落としてバグ修正に集中する必要があると思います」
0017名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:28:15.44ID:???
非常に目立つ脆弱性は、アップルの全体的なセキュリティに「雪だるま式」の影響を及ぼす可能性もある。
iPhoneとMacの所有者は一般的に、すぐにアップデートをインストールし、
Androidデヴァイスは後れをとる場合が多い。それはアップル製品がこれまで比較的安全だったからである。
だが、あまりに頻繁に多くのバグが見つかると、ユーザーはすぐにアップデートを適用することに慎重になり、
問題が解消された新しいソフトウェアが市場に出るまでそのままにするほうを選ぶ可能性がある。
0018名無しさん@お腹いっぱい。
垢版 |
2018/01/11(木) 21:28:33.74ID:???
昔からのiOS開発者であるマリン・トドロフは、「わたしは少し前に、
アップルの最新ソフトウェアを使うのをやめました。常に2つ前の、
正常に動作するヴァージョンを使用しています」と述べる。「アップル本社でも、
こうした危機的状況を知らせる警報が鳴っているとよいのですが。
アップルはユーザーエクスペリエンスとソフトウェア品質を失いつつあるように見えます」
0023名無しさん@お腹いっぱい。
垢版 |
2018/01/15(月) 00:44:04.81ID:Ln9FCgGa
神奈川三浦市長 吉田英男
公用車でソープランド税金不正
https://goo.gl/dGtUCM
0025名無しさん@お腹いっぱい。
垢版 |
2018/02/03(土) 19:07:47.87ID:???
某有名圧縮解凍ソフトのパスワードが破れないで解凍できないから、当局が力で制作者にセキュリティ落として穴を作る指示して応じさせたなんて話もあるよね。
これも、その類いかな?
0030名無しさん@お腹いっぱい。
垢版 |
2018/02/04(日) 00:32:40.75ID:???
よくさ、怪談話とかで、そして誰も生き残った人はいなかった
みたいな話をすると、じゃあなんでそんな話が
伝わってるんだよ?ってツッコむ人いるじゃん。
あれナンセンスだよね。作り話だとわかった上で楽しんでるんだから

某有名圧縮解凍ソフトも同じ話
某だよ某、あれあれ、アレねw
みたいな感じで楽しめ
作り話だというのはみんなわかってる
0033名無しさん@お腹いっぱい。
垢版 |
2018/02/04(日) 23:05:54.18ID:???
検索すら出来ないのに検証出来るの?
俺は情報を金にもならないのに与えただけ。
それを活かすも活かさないのも自由だが、タカスにやるのかと言った実力伴わない爺さんもこんな感じなのかな?

某スマホのパスワードを特定回数間違えるとデータ消去されるから、当局がメーカーに解除しろ、解除ツールよこせと言っていた話すら知らないんだよね?
笑うしかないな。
0034名無しさん@お腹いっぱい。
垢版 |
2018/02/06(火) 00:16:46.89ID:???
>>33
某有名圧縮解凍ソフトのパスワードが破れないで解凍できないから〜

という話、あんたも見つけられなかったから
スマホのパスワードに話をすり替えようとしてるんだよね?
卑怯だよ。それ禁止


某有名圧縮解凍ソフトを検索してきなさい
0036名無しさん@お腹いっぱい。
垢版 |
2018/02/06(火) 22:13:25.28ID:???
>>33
おい、まだか?

検索できるんだろ?

某有名圧縮解凍ソフトのパスワードが破れないで解凍できないから〜
の某有名圧縮解凍ソフトの
名前言ってみろ

有名なんだからマイナーなものをまで
探さなくていいぞ?

有名トップ30ぐらいでそんな話があったか
調べるだけで十分やろ?

はやくしろやー
0037名無しさん@お腹いっぱい。
垢版 |
2018/02/08(木) 06:04:52.68ID:???
☆ 私たち日本人の、日本国憲法を改正しましょう。現在、
衆議員と参議院の両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
0040名無しさん@お腹いっぱい。
垢版 |
2018/03/29(木) 13:59:29.16ID:GjMPDFUi
macOS High Sierra、APFSのパスワードを平文で表示してしまうバグ
https://pc.watch.impress.co.jp/docs/news/1114015.html

パスワードなんか使うな
生体認証を使え
って林檎教の教えだ
0041名無しさん@お腹いっぱい。
垢版 |
2018/03/31(土) 13:05:28.10ID:D+/mn34V
>>40
何の実害もない事にびっくり。
0043名無しさん@お腹いっぱい。
垢版 |
2018/04/01(日) 09:50:43.07ID:???
自分で暗号化ディスク作るときにパスワード見えるって話でしょ。
実害なしだわ。

実害あると思う理由を教えてよ。
0044名無しさん@お腹いっぱい。
垢版 |
2018/04/08(日) 21:05:33.96ID:???
>>43
リンク先読んでないんだな。

自分以外の人でも暗号化ディスクを作ったとに
パスワードを知ることができるから問題なんだよ
0045名無しさん@お腹いっぱい。
垢版 |
2018/04/08(日) 21:12:25.40ID:5oXbwohk
あちゃーw こりゃ実害ありまくりだわ


APFS暗号化パスワードが平文のままログに保存されてしまうバグは
macOS 10.13.4で修正されるも、install.logに保存されたパスワードはmacOS 10.14まで保存される可能性。
https://applech2.com/archives/20180401-high-sierra-apfs-encrypt-password-remain-macos-10-14-log.html

悪いことに、この”install.log”はmacOSがインストールされてからメジャー・アップグレード
(例:macOS 10.12.x → macOS 10.13.x)されるまでのログを保存しているため、
macOS 10.13(.0) ~ 10.13.3でAPFS暗号化ボリュームを作成した方は次期macOSの
メジャーアップグレードとなるmacOS 10.14までパスワードが”install.log”に保存されることになるようで、
確認したところ、macOS 10.13.4 アップデートではAppleはこのログに記録されている
平文のパスワードについて何も対処していないなかったようで、以上の動画の通り
macOS 10.13.3で作成したAPFS暗号化ボリュームに利用したパスワードが、
macOS 10.13.4の”install.log”(パーミッションも644)にも記載されていました。




リンク先には書いてないけど、このパーミッション644っていうのは重要で
ファイルの所有者は読み書き可能(6)で、同じグループでも
それ以外でも読むこと(4)はできますっていう意味
0046名無しさん@お腹いっぱい。
垢版 |
2018/04/09(月) 15:38:07.24ID:???
>>44
暗号化ボリュームを作ろうとした時に、新しく設定したパスワードではなくて、以前の暗号化パスワードが表示されるって事?
0047名無しさん@お腹いっぱい。
垢版 |
2018/05/12(土) 20:39:05.53ID:KlB7T/49
すみません、グランブルーファンタジーのアカウントを購入できるサイトを探しています 教えてください

https://gametrade.jp/granblue/exhibits

ここのようなサイトですごく売ってるヒトがたくさんいるとこがいいです。
連絡お願いします

bahamuuto1@qq.com
0048名無しさん@お腹いっぱい。
垢版 |
2018/05/13(日) 12:21:49.59ID:Y0e9I35v
いろいろと役に立つ副業情報ドットコム
役に立つかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

9R1BD
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況