macOS High Sierraのroot脆弱性、場合によってはアップデートをしても脆弱性を修正できていない可能性あり
▼ iPhone 15/15 Proの予約は公式オンラインショップから!
トルコの開発者によって、発見された「macOS High Sierra 10.13.1」の脆弱性。ユーザー名に「root」を入力することで、パスワードなしでログインすることができてしまうという重大なものだったが、Appleは発見からわずか1日で同不具合を修正することに成功。すでに一般ユーザー向けと開発者・パブリックベータテスター向けにセキュリティパッチを配布済みだ。
おそらく当ブログを購読していただいている方であれば、同セキュリティアップデートをすでに適用していると思うが、しかしWiredによるとアップデートの仕方によっては未だに不具合を修正することができていないケースがあることが分かった。
「macOS High Sierra v10.13」から「v10.13.1」にアップデートした場合、不具合を修正できていない可能性
Wiredによれば、一度セキュリティアップデートを適用した「macOS High Sierra 10.13」から「macOS High Sierra 10.13.1」にアップデートした場合、セキュリティ・アップデートを適用する前のデータをインストールしてしまい、同不具合を修正できていない状況に戻ってしまう可能性があるとのこと。
これを防ぐには、「macOS High Sierra 10.13.1」へのアップデート後に端末を再起動し、Mac App Storeでアップデートを確認することが必要である。もし脆弱性を修正できていない場合、アップデート一覧に「セキュリティアップデート 2017-001」が表示されるはずで、同パッチを再度適用することで脆弱性を修正することができる。
アップデートが完了したかどうかは、Appleのサポートドキュメントによれば、MRTConfigDataのバージョンがどうなっているかで確認することができるとのこと。
確認する方法は、画面左上にあるリンゴマークを押し、「このMacについて」をクリック。さらに、「システムレポート」を選択し、[ソフトウェア]>[アプリケーション]内にある「MRT」のバージョンが1.27になっていればアップデートが完了していることになるという。
今回の不具合は、使っている本人でなくても勝手にMacにログインすることができる重大な不具合だったが、世界的に話題になり即座に対策に取り掛かったことで、Appleは事なきを得ることができた。Appleはユーザーに謝罪をした上で、今後の再発防止に努めるとコメントしている。
ちなみに、読者の方の中でまだセキュリティ・アップデートを行っていない方がいたら、ぜひ早めにアップデートをしていただきたい。
▼ Apple公式サイトでMacBook製品をチェック
・MacBook Air
・MacBook Pro
▼ Macアクセサリ
・Magic Keyboard
・Magic Trackpad
・Magic Mouse
・その他
▶︎ 学生・教職員向けストア
▼ iPhone 15/15 Proの予約は公式オンラインショップから!
Apple、Appleのロゴ、Apple Pay、Apple Watch、FaceTime、GarageBand、HomePod、iMovie、iPad、iPhone、iPhoto、iSight、iTunes、Retinaは、米国および他の国々で登録されたApple Inc.の商標です。
※iPhoneの商標は、アイホン株式会社のライセンスにもとづき使用されています。
※App Store、AppleCare、iCloudは、Apple Inc.のサービスマークです。
