うちの次女にHigh Sierraと同じ脆弱性

f:id:kaeruyan:20171008212911p:plain

f:id:kaeruyan:20171008212920p:plain

f:id:kaeruyan:20171008212933p:plain

f:id:kaeruyan:20171008212942p:plain

f:id:kaeruyan:20171008212950p:plain

 

ってなことが昔あったんだけど

同じことがMacにも起きたらしい。

 

衝撃のニュース

先日、macOS の最新版 High Sierra に意図せずパスワードを表示してしまう脆弱性があるというニュースが流れた。

引用すると

新ファイルシステムのAPFS(Apple File System)を利用している環境で発生するもので、APFSのボリュームをマウントするさいに聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、ヒントの代わりにパスワードそのものが表示されてしまう。

 

とのこと。

 

いやいやいやいや...。

ヒントを教えてと頼んだら答えを言うって、うちの次女かいっ!

深刻な脆弱性なのに思わず笑ってしまった。

 

ちなみに、現在は修正パッチが配布されている。

 

実際に試してみよう!

我が家のMac、High Sierra はパッチを当てる前だったので試してみた。

 

まずは本体のMacintosh HD に暗号化したAPFSボリューム「test」を追加。

パスワードに「kaerupassword」

ヒントに「両生類です」

と入力する。

f:id:kaeruyan:20171008222210p:plain

作成した「test」ボリュームをアンマウントしてからマウントすると、ロック解除用パスワードを聞かれるので、ヒントボタンを押す。

 

本来なら「両生類です」と表示されるところだが...。

f:id:kaeruyan:20171008222220p:plain

ヒントに答えである「kaerupassword」が表示されてしまっている。

おいおい...。

 

修正パッチを当てた後は?

で、修正パッチをあてて再度マウントすると、ちゃんと「両生類です」と表示されると思いきや...。

なんとヒントボタンそのものがなくなった!?

f:id:kaeruyan:20171008222620p:plain

この修正はどうなのよ??これじゃ最初にヒントを入力する意味ないじゃん...。

 

と思って、念のためもう一度APFSボリュームを作り直したら、

今度はきちんとヒントに「両生類です」と表示されました。

f:id:kaeruyan:20171008231033p:plain

パッチをあてる前に作った暗号化APFSボリュームはヒントそのものが無効になる仕様のようだ。もしかして今回のバグは、APFSボリューム作成時に誤ってヒント項目にパスワードが書き込まれているために発生したのかもしれない。

 

さいごに 

たまにOSでパスワード回避する方法が発見されたりするけど

さすがにこれはAppleのエンジニア頑張れ!

としか言いようがない。

 

High Sierra を使用している方は早めに修正パッチをあてましょう。