パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOS 11.2リリース、12月2日以降にiOS 11デバイスの再起動が繰り返される問題を修正」記事へのコメント

  • 関連リンクの「macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる」も 18時間後にセキュリティアップデートがでたそうです。
    10.13.1 へのアップデートを保留していて順番が違うと再発するそうなので注意。macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ(要再起動) [oricon.co.jp]

    • Re: (スコア:3, すばらしい洞察)

      by Anonymous Coward

      で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態では
      すべてのMacがクラックされたとみなすしかないわけです

      このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね

      • Re: (スコア:-1, 荒らし)

        で、その問題が発覚する以前を含めて紛失盗難により悪意あるものの手に脆弱性のあるMac端末がある状態ではすべてのMacがクラックされたとみなすしかないわけです

        なにか勘違いしているのでは? 関連ストーリーのコメントを全て追ってはいませんが、ログインせずに root 権限を得る方法は発表されていませんよね。UAC でクリックするだけの Windows 並みのセキュリティだったというだけでは。

        紛失盗難については、ディスクの暗号化をしていれば問題ないし、暗号化していなければ外部起動なりディスクの取り出しなりをされれば漏洩するでしょうし、この問題と関係なくないですか。

        このAppleのあまりにも杜撰なバグで、いったいどれくらいの被害が出たのか想像もつきませんね

        あなたの想像よりずっとすくないと想像します。

        # 被害報告ってそもそもあったの?

        • by Anonymous Coward on 2017年12月03日 21時32分 (#3322693)

          いや関連ストーリー追えよ。
          GUIログイン画面でroot奪取できるバグなので、盗難に遭ったMacで、Macを探すでの消去が間に合わなかった場合はまずいかな。rootなので、ディスクの暗号化も突破できる。
          画面共有でもGUIログイン画面を経由するので突破できるけど、ディフォルトでOFFだしVPN乗っ取られてない限りは大丈夫かな。
          言うほど被害は無いと思いますが。

          親コメント
          • Re: (スコア:0, 荒らし)

            > いや関連ストーリー追えよ。

            いや、一度追っていますが、そのあともたくさんコメントがついているので。

            > GUIログイン画面でroot奪取できるバグなので、

            その「GUIログイン画面」というのはパスワードなしで入れるものなのですか。「システム環境設定」などを起動して root 権限を得るという理解でいたのですが。

            • by Anonymous Coward on 2017年12月03日 21時56分 (#3322701)

              難しく考えすぎです。
              電源切った後、再起動すればパスワードなしでログイン画面は出せます。
              要するにハードに直接アクセス可能な人ならrootユーザーを勝手に作れます。

              親コメント
            • by Anonymous Coward on 2017年12月03日 23時21分 (#3322741)

              Apple信者ってほんとにいるんだ。。

              GUIログイン画面だって言ってんのに、パスワード無しで入れるものなのですかって
              あんたもー何いってんだ
              それともMacじゃログイン画面(ユーザID・パスワードの入力画面)にたどり着くために別のパスワード入れるのが当たり前の運用なの?

              親コメント
              • by Anonymous Coward on 2017年12月04日 2時13分 (#3322783)

                おそらくそのID持ちは過去記事みてなくて、脆弱性がログイン後の認証時のみだと思ってたんだろう
                同一の脆弱性がログイン画面でもある、って知らないのかな。

                まあ、元コメもよく確認せずにイキってるのはあれだが、なんでも信者認定するのはよくない。
                むしろこれは信者ではなくただの情弱だ。

                親コメント
              • by Anonymous Coward on 2017年12月04日 3時36分 (#3322791)

                こんなはっきり指摘されて見えないってウッソだろ?
                ちゃんと「見落としてました」ってちゃんと言えるのかなコイツ。
                こんなコメントもしてる [srad.jp]し十分信者扱いでいいと思うけど。

                というか信者で何が一番やばいかって、こうやって甘い知識で安全と思いこんだり安全と拡散する馬鹿スパイラルやってることでしょう。
                その歯車としてガッツリ回っている以上、「悪しきApple信者」と同じ扱いでいいと思う。
                ただApple製品が好きなだけのやつより質が悪い。

                親コメント
              • by Anonymous Coward on 2017年12月04日 10時05分 (#3322880)

                モデレートの新たな種別として「ボンクラ」の必要性を訴えたいと思いました…

                親コメント
              • by Anonymous Coward on 2017年12月04日 12時31分 (#3322947)

                「信者」とボンクラを一緒にしてほしくないなぁ。

                親コメント
              • by Anonymous Coward

                そういや、アップル本体自身が、osxはウイルスに感染しないってcm出してたよなぁ。
                この、アップルのcmに対する無謬性こそ信者の条件だと思ってた。

                だからあなたの言い方を真似るなら、情強と信者を一緒にするな、だろ。

            • by Anonymous Coward

              Unix使いじゃ無いと知らないかも知れませんが、生のmacOSでもsshサーバーを起動できるので、CLIでログイン出来るのです。だからGUIログイン画面というのは通常のログイン画面です。
              ログイン画面は、各ユーザーのセッションを起動する関係でroot権限を持ってます。macOSはsudoポリシーなので、rootではログイン出来ません。rootを有効にするにはシステム環境設定から面倒な手順が必要です。
              ところがログイン画面でユーザー名をrootにしてばしばし叩くとrootが有効化され、パスワード無しでログイン出来るのです。

            • by Anonymous Coward

              「ログイン画面」 の意味すら分からない本物の馬鹿を始めて見た。

              「パソコン立ち上げるのに、ログインするのに電源入れたらログイン画面出るだろうに」

              簡単に言えば、
              電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。
              前のストーリーは。

              • 一晩と半日でえらいもりあがってる。とりあえずこのコメントに返信しておきます。

                > 簡単に言えば、
                > 電源いれて、ログイン画面でユーザーroot,パスワード未入力で常にログインできて、root権限奪えるって話なんだがね。
                > 前のストーリーは。

                少なくとも手元の検証環境では「ログイン画面でユーザーroot,パスワード未入力で常にログインでき」なかったので勘違いしていました。ログインボタンを一度押すだけではだめで、何度も押さないとダメなんですね。読み落としていました。申し訳ない。

                > Anyone can login as "root" with empty password after clicking on login button several times.

                # 「あらし」モデが 3回ついたのも初めてかも。

                親コメント
              • rootを入れて連打するっていうのが問題として非常に良い(?)ところ
                知らないとぱっと気づかないが知ってればすごく簡単という…

                ワンクリックで入れるならもっと早くに、上手くすればリリース前に、
                気付かれていたでしょうなぁ

                親コメント
          • by Anonymous Coward

            > 言うほど被害は無いと思いますが

            少なくとも紛失盗難端末はなすすべもなくroot権限プレゼント付きで完全にクラックされたわけですが
            WIFIなどがつながらなくしておけばリモートからの強制消去なども届きません

            Macの中身を使ったさらなる悪事の範囲まで含め、どれくらいの被害が出たか想像もできないレベルですよ

          • by Anonymous Coward

            > rootなので、ディスクの暗号化も突破できる。

            このバグを利用してroot権限を取るには、ユーザ名として「root」と入力できる状況にしないといけないというのが前提ですよね。
            ディスクが暗号化されていると、起動時のログイン画面にはディスクの暗号化を解除できるユーザしか表示されません(rootは出てこないので選べない)。
            危険なのは、ディスクが暗号化されていないMacや、すでにログインしているMacだと思っていたのですが、違うのでしょうか。

            しかし、これだけHigh Sierraで変な脆弱性が発見されていると、面倒になるので設定していなかったファームウェアパスワードも、設定したほうがいいかなと思う今日この頃です。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...