macOS High Sierraサプリメンタルアップデート〜脆弱性に対処
Appleは現地時間10月5日、macOS High Sierraを正式公開して以来初のアップデートとなる、macOS High Sierra10.13のサプリメンタル(追加)アップデートをリリースしました。今回のアップデートは、暗号化したパスワードが平文(プレーンテキスト)で表示されるなどの脆弱性を修正しています。
パスワードが平文で表示される!
9月26日に公開されたばかりのmacOS High Sierraですが、Keychainに保存されたユーザー名とパスワードが平文で表示されてしまうという脆弱性が、早い段階から指摘されていました。ただしこれは、発行元の不明なサードパーティ製アプリをインストールしてしまった場合に限ります。
一方ブラジルのソフトウェア開発者マシュース・マリアノ氏は、コンテナに暗号化したApple File Systemボリュームを追加、パスワードとヒントを設定し、パスワードのプロンプトが表示されるようにしてから「Show Hint(ヒントを表示する)」をクリックすると、ヒントどころかパスワードそのものが表示されてしまうというより深刻な不具合を発見、報告しています。
macOS High Sierra 10.13追加アップデートはこの両方の問題に対処しています。
アップデートと合わせてサポート文書も公開
Appleは今回のアップデートと同時にサポート文書を公開し、macOS High Sierraでパスワードヒントではなくパスワードそのものが表示される場合に、データを保護する方法も説明しています。
Appleはサポート文書で、まず今回公開された最新版にアップデートしたら、問題の生じたボリュームのバックアップを作成(暗号化する)、ドライブを消去、APFSへと再フォーマット化し、バックアップしたデータを戻すようアドバイスしています。
Source:MacRumors(1),(2),Apple
(lunatic)