2017年11月28日(火)(現地時間)にTwitterでmacOS High Sierraに重大なセキュリティ上の問題が指摘されたことから全ては始まりました……。
macOSとiOSで立て続けに発見されたバグとその解消までの流れを振り返ってみます。
11月28日(火):macOS High Sierraに脆弱性が発見
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 2017年11月28日
この脆弱性を発見したのは『Software Craftsmanship Turkey』創設者のLemi Orhan Ergin氏。
指摘されたのは、ユーザー名を「root」、パスワードを空白にして複数回「ロックを解除」ボタンをクリックすると……ロックが解除されてしまうという問題。
Mac自体に触ることができれば、Macを乗っ取ることができてしまうという状況であることが明らかになりました。
24時間以内にセキュリティアップデートで対応
この問題に対してAppleは24時間以内にアップデートを提供!
セキュリティアップデート 2017-001
2017 年 11 月 29 日リリース
ディレクトリユーティリティ
対象 OS:macOS High Sierra 10.13 および macOS High Sierra 10.13.1
対象外:macOS Sierra 10.12.6 以前
影響:攻撃者が管理者のパスワードを入力しなくても、管理者の認証を回避できる可能性がある。
説明:資格情報の検証にロジックエラーがありました。この問題は、資格情報の検証を強化することで解決されました。
CVE-2017-13872
引用元:Apple|セキュリティアップデート 2017-001
アップデートが適応されているか調べる方法
アップデートが適応されているか確認する方法がサポートページで紹介されています。
お使いの Mac にセキュリティアップデート 2017-001 が適用されているか確認するには、以下の手順を実行してください。
ターミナル App を開きます (「アプリケーション」フォルダの「ユーティリティ」フォルダにあります)。
「what /usr/libexec/opendirectoryd」と入力して「return」キーを押します。
セキュリティアップデート 2017-001 が正常にインストールされている場合は、以下のいずれかのプロジェクトバージョン番号が表示されます。
opendirectoryd-483.1.5 on macOS High Sierra 10.13
opendirectoryd-483.20.7 on macOS High Sierra 10.13.1
引用元:Apple|セキュリティアップデート 2017-001
12月2日(土):iPhoneがクラッシュする問題も発生!
iPhoneが繰り返しクラッシュするという問題が12月2日から一部のユーザーに発生。Appleは「iOS 11.2」を通常とは異なる現地時間深夜にリリースすることでこの問題に対処しています。
急遽リリースされたiOS11.2のアップデート内容は?
Apple Payを使って簡単に送金することのできる、Apple Pay Cash(米国内のみ)。互換性のある他社製のアクセサリを使用した場合のiPhone 8、iPhone 8 Plus、iPhone Xの「高速ワイヤレス充電」への対応などが追加されています。
迅速で柔軟な対応でmacOSとiOSの問題は解消されましたが、Appleのソフトウェアエンジニアにとっては大変な1週間となってしまったかもしれません。
