【脆弱性】 「パスワード入力欄に適当に文字を入力してみた。すると本当にロックを解除できた。」
■ このスレッドは過去ログ倉庫に格納されています
「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」
https://japan.cnet.com/article/35112998/
> 米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」(10.13.2)を
>搭載するMacで、App Storeの設定のパスワードフィールドに適当に文字を入力してみた。
>すると、本当にロックを解除できた。 パスワードなしでログインできてしまう「Mac」のバグがまた発見された。
しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、
コンピュータに少しいたずらされるだけで済みそうだ。 このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、
懸念の声が上がるのは避けられないだろうが、この脆弱性を悪用されても、
コンピュータを完全に乗っ取られることはない。 2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、
誰でもパスワードなしでMacにログインできることが明らかになった。これは、
コンピュータ内のデータを泥棒や詮索好きな友達、家族、同僚から守る最も基本的な
防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、パスワードフィールドに
どのような文字を入力しても、システム環境設定の「App Store」設定のロックを
解除できることが報告された。ただし、管理者としてログインした場合に限られるという。 アップルに相次ぐOSのバグは、その信頼と品質に「黄信号」を灯す──専門家たちが指摘する「根深い問題」
http://news.livedoor.com/article/detail/14136272/
どんなソフトウェアにも欠陥はある。いくら入念にチェックしていても完全にはなくならない。
だから問題は、完璧なコードを作成することではなく、間違いを見つけたときにどう対応するかだ。
アップルはセキュリティに関して確固たる評判を得てきたものの、「macOS 」と「iOS」で
相次いで発見された重大な脆弱性により、アップルのセーフティーネットはほころび始めている。
一部のセキュリティ研究者や開発者は、この問題はアップル全体にかかわることかもしれないと疑問を抱き始めた。 この1年で相次いだ重要な修正アップデート
2017年9月25日(米国時間)にアップルが発表した「macOS High Sierra」
のリリースを例に挙げよう。アップルは、10日以内に2つの重大なバグを
修正しなければならなくなった。まず1つが、第三者のアプリを使用すると
キーチェーンから認証情報を盗み出せるという問題。そして2つ目は、
暗号化されたApple File System(APFS)ヴォリュームのパスワードのヒントが、
パスワードをプレーンテキストで表示するという不具合だ。 その後11月末には、「root」と入力するだけで、Macで稼働しているHigh Sierraに
誰でもルートアクセスできることを、セキュリティ研究者たちが公表した。
このバグはあまりにも目立つものだったため、アップルは1日もたたないうちに
修正プログラムを発表した。これほどの大企業にしては驚異的な速さだった。 最初の「root」バグ事件後に、アップルは『WIRED』US版に次のような
声明を出した(アップルがこうした“告白”をすることは珍しい)。
「セキュリティはすべてのアップル製品にとって最優先事項ですが、
残念なことにこのmacOSのリリースではミスをしてしまいました。
わたしたちは今回のミスを非常に遺憾に思っており、すべてのMacユーザーに
対してこのような脆弱性のあるソフトウェアをリリースしてしまったことと、
心配させてしまったことの両方をお詫びいたします。今後は開発プロセスを厳しく検査し、再発防止に努めます」
だが、この修正プログラム自体に重大なバグがあった[日本語版記事]。
テスト時間をほとんど取れなかったことを考えれば驚くには当たらない。 この問題はmacOSだけでなく、アップルのプラットフォーム全体で
次々と起きるソフトウェアの一連のトラブルのリストに名を連ねることになった。
17年全体を通して、アップルは問題のあるバグを数多く修正しているのだ。 iOS 10では数十個のバグを修正。5月には、アップルのすべてのOSとサーヴィスに
影響を与える衝撃的なアップデートで、66個の固有の脆弱性を修正した。
これらの脆弱性のいくつかは遠隔でも実行可能であり、ハッカーはデヴァイスに
物理的にアクセスしなくても脆弱性を悪用できる状態だった。 さらに12月の第2週、Homekitのリモート脆弱性に対するiOS 11の修正プログラムをリリースした。
この脆弱性を悪用するのは簡単ではないが、意欲的なハッカーならドアロックなどの
重要なスマートホーム機器に不正アクセスできるものだった。 拡大するプラットフォームとスケジュールが負担に?
アップルが提供するセキュリティは、ほとんどの評価基準において
その競争相手よりも優れている。だがセキュリティ研究者たちは、
今回のような脆弱性の増加は根深い問題を示唆している可能性があると述べる。 複数の研究者が品質保証検査プロセスの問題を指摘し、徹底的に評価するための人的資源か、
明確な指示のいずれかが不足していたのではないかと推測した。アップル自身は、
問題があったのは「開発プロセスの検査」だと述べている。
審査と検査の問題を示唆しているようだが、同時に研究者たちが指摘しているほかの
懸念事項を示しているようにもとれる。それは、12カ月ごとに刷新した
ソフトウェアをリリースするという、アップルにとってのプレッシャーだ。 Malwarebytes Labsの脅威追跡・分析部門でMacとモバイルの責任者を務める
トーマス・リードは次のように語る。「アップルにはこれまでも問題はありましたが、
そのことで責められるわけではありません。バグの問題には遅かれ早かれ誰もが
遭遇することになるからです。しかし、11月などが異常だったのはバグの数です。
明らかにそこには何かがあります。現時点では偶然では説明できません。
これほど多くのバグがHigh SierraとiOS 11に見つかっているからには、
アップルは何らかの理由でこれらのリリースを急いでいて、公開の準備が
十分にできていない時期尚早の段階で発表したのではないかと疑わざるを得ません」 「安定」を誇ったOSも今は昔
昔からMacを利用してきた専門家のなかには、09年に発売されたアップルの
「OS X 10.6 Snow Leopard」のようなリリースを懐かしむ人もいる。
07年に鳴り物入りで発表された機能満載のLeopard(10.5)を、じっくりと成熟させたヴァージョンだ。
「Snow Leopardは、非常に良好で安定したリリースでした。本当に長い時間を
かけてバグが修正されたからです」とリードは述べる。「現時点でもアップルは
同じことをすべきです。最近ではどのリリースも、かなりの重点を新機能に
置いていますが、次のリリースでは新機能のペースを少し落としてバグ修正に集中する必要があると思います」 非常に目立つ脆弱性は、アップルの全体的なセキュリティに「雪だるま式」の影響を及ぼす可能性もある。
iPhoneとMacの所有者は一般的に、すぐにアップデートをインストールし、
Androidデヴァイスは後れをとる場合が多い。それはアップル製品がこれまで比較的安全だったからである。
だが、あまりに頻繁に多くのバグが見つかると、ユーザーはすぐにアップデートを適用することに慎重になり、
問題が解消された新しいソフトウェアが市場に出るまでそのままにするほうを選ぶ可能性がある。 昔からのiOS開発者であるマリン・トドロフは、「わたしは少し前に、
アップルの最新ソフトウェアを使うのをやめました。常に2つ前の、
正常に動作するヴァージョンを使用しています」と述べる。「アップル本社でも、
こうした危機的状況を知らせる警報が鳴っているとよいのですが。
アップルはユーザーエクスペリエンスとソフトウェア品質を失いつつあるように見えます」 またApple製品にパスのバグ、macOS 10.13.2で適当なパスワードでロック解除
https://www.mdn.co.jp/di/newstopics/56770/ 最新版のmacOS 10.13.2にバグ、パスワードなしで一部の設定変更が可能
https://iphone-mania.jp/news-199808/ 神奈川三浦市長 吉田英男
公用車でソープランド税金不正
https://goo.gl/dGtUCM 某有名圧縮解凍ソフトのパスワードが破れないで解凍できないから、当局が力で制作者にセキュリティ落として穴を作る指示して応じさせたなんて話もあるよね。
これも、その類いかな? >>25
ねーよ
大体なんで「某」なんだよ。
そんな話がないから、検証できない言い方しかできないんやで? >>26
あるよ。
Zipじゃないってことでw
と言うか、Windows標準だとパスワード掛けられないが。 >>27
で、その某有名圧縮解凍ソフトって何よ? w >>28
国家権力で口止めされてるから
誰もしない よくさ、怪談話とかで、そして誰も生き残った人はいなかった
みたいな話をすると、じゃあなんでそんな話が
伝わってるんだよ?ってツッコむ人いるじゃん。
あれナンセンスだよね。作り話だとわかった上で楽しんでるんだから
某有名圧縮解凍ソフトも同じ話
某だよ某、あれあれ、アレねw
みたいな感じで楽しめ
作り話だというのはみんなわかってる >>29
なら>>25みたいな話もダメだろ
消されるよ w 検索すら出来ないのに検証出来るの?
俺は情報を金にもならないのに与えただけ。
それを活かすも活かさないのも自由だが、タカスにやるのかと言った実力伴わない爺さんもこんな感じなのかな?
某スマホのパスワードを特定回数間違えるとデータ消去されるから、当局がメーカーに解除しろ、解除ツールよこせと言っていた話すら知らないんだよね?
笑うしかないな。 ■ このスレッドは過去ログ倉庫に格納されています