macOS High Sierraのルート化バグを修正する重要なセキュリティアップデートがリリースされました。今すぐダウンロードしてインストールしてください。
Appleは、誰でもパスワードなしでmacOS High Sierraにログインできるルートログインバグに対処するため、macOS High Sierraの重要なセキュリティアップデートをリリースした。
macOS High Sierraユーザーは全員、Macを保護するために、このセキュリティアップデートをできるだけ早くインストールする必要があります。たとえ、こちらで詳しく説明されているルートログイン修正を既に適用済みであってもです。これは、セキュリティホールを完全に修正するため、macOS High Sierraシステムソフトウェア向けにこれまでにリリースされたセキュリティアップデートの中で最も緊急性の高いものと言えるでしょう。
このソフトウェアアップデートは「セキュリティアップデート 2017-001」というラベルが付けられており、macOS High Sierra専用です。App Storeのダウンロードに添付されている短い説明には、「このアップデートをできるだけ早くインストールしてください。セキュリティアップデート 2017-001はすべてのユーザーに推奨され、macOSのセキュリティを強化します。」と記載されています。
macOS High Sierra セキュリティアップデート 2017-001 のインストール方法
- Appleメニューに移動し、「App Store」を選択します
- 「アップデート」タブをクリックします
- 「セキュリティアップデート - このアップデートをできるだけ早くインストールしてください。セキュリティアップデート 2017-001」が利用可能になった場合は、「更新」ボタンをクリックします。
このセキュリティアップデートはmacOSの「ディレクトリユーティリティ」アプリケーションに適用されると思われるが、変更を有効にするためにMacを再起動する必要はない。
macOS High Sierra セキュリティアップデート 2017-001 リリースノート
ダウンロードに関する注意書きは簡潔です(「このアップデートをできるだけ早くインストールしてください。セキュリティアップデート 2017-001 はすべてのユーザーに推奨され、macOS のセキュリティを強化します。」)。しかし、Apple はサポートページで、このセキュリティパッチのバグとリリースノートについてさらに詳しく説明しています。
セキュリティアップデート 2017-001
2017年11月29日リリース
ディレクトリユーティリティ
対象OS: macOS High Sierra 10.13.1
影響を受けない: macOS Sierra 10.12.6以前
影響: 攻撃者は管理者のパスワードを入力することなく管理者認証をバイパスできる可能性があります。
説明: 資格情報の検証に論理エラーがありました。この問題は、資格情報の検証を強化することで解決されました。
CVE-2017-13872
Macにセキュリティアップデート2017-001をインストールすると、macOSのビルド番号は17B1002になります。MacでmacOSのバージョンとビルド番号を確認する方法については、こちらをご覧ください。
Mac でルート ユーザー アカウントが必要な場合は、ルート ユーザーを有効にして、ルート ユーザーのパスワードを変更できます。
Macに適用されたセキュリティアップデートを確認する
ソフトウェアアップデートは自分でダウンロードできますが、Apple は後日 macOS High Sierra マシンへのダウンロードを自動的にプッシュし始める予定であることに注意してください。
macOS High Sierra を実行している特定の Macintosh にセキュリティ アップデート 2017-001 が適用されていることを確認する最も簡単な方法は、コンピューター上の Mac OS ビルド番号を確認することです。
- APPLE メニューをプルダウンし、「この Mac について」を選択します。
- 「macOS High Sierra」バナーのすぐ下にある「バージョン」というテキストをクリックします。
- ビルド番号がバージョンの横に表示されます。「(17B1002)」と表示されている場合、セキュリティアップデートは正常にインストールされています。
サンプルのスクリーンショットでは、macOS High Sierra のビルドバージョンが 17B1002 より古いため、セキュリティ パッチはまだインストールされていません。
ターミナルと次のコマンド構文を使用して、Mac OS リリースのビルド番号を確認することもできます。
sw_vers
TechCrunch記者のマシュー・パンザリーノ氏が投稿したツイートによると、Appleはセキュリティ上の欠陥とmacOS High Sierraのセキュリティアップデートについて次のような声明を発表した。
「セキュリティはすべてのApple製品にとって最優先事項であり、残念ながら今回のmacOSのリリースではつまずいてしまった」
火曜日の午後、セキュリティエンジニアがこの問題を認識した時点で、直ちにセキュリティホールを塞ぐアップデートの作成に着手しました。今朝午前8時より、アップデートのダウンロードが可能となり、本日中にmacOS High Sierraの最新バージョン(10.13.1)を搭載したすべてのシステムに自動的にインストールされます。
この誤りを深く反省し、この脆弱性を残したままリリースしたこと、そしてご心配をおかけしたことについて、すべてのMacユーザーの皆様にお詫び申し上げます。お客様には、より適切な対応を期待しております。今後、開発プロセスを監査し、このような事態の再発防止に努めてまいります。
Appleは、このアップデートは現在ダウンロード可能であり、「本日中にmacOS High Sierraの最新バージョン(10.13.1)を実行しているすべてのシステムに自動的にインストールされる」と明言しています。これは、AppleがMac App Storeで提供されている自動セキュリティアップデートの仕組みを利用して、この重要なセキュリティアップデートを顧客にプッシュしようとしていることを示唆しているようです。
できるだけ早く、macOS High Sierra を実行しているすべての Macintosh にセキュリティ ソフトウェア アップデートをインストールすることを強くお勧めします。
macOS High Sierra セキュリティアップデート 2017-001 の直接ダウンロード リンクはまだ利用できませんが、公開され次第、ここに表示されるはずです。
