macOS 10.13.1までのIOHIDFamilyで非特権ユーザでもカーネルのR/Wが可能になる脆弱性がゼロデイとして公開される。
macOS 10.13.1 High SierraまでのmacOSに存在するIOHIDFamilyでは、非特権のユーザがカーネルの特権(Read/Write)を取得可能な不具合が存在し、その脆弱性がゼロデイとして公開されています。詳細は以下から。 iOSのJailbreakなどを研究しているSiguzaさんによると、macOS 10.13.1までのmacOSには非特権ユーザーでもカーネルのReal/Writeが可能になり、任意のコードを実行できるようになる可能性があるIOHIDFamilyの脆弱性(通称:IOHIDeous)があるとしてその詳細を公開しています。 Introduction This is the tale of a macOS-only vulnerability in IOHIDFamily that yields kernel r/w and can be exploi
SIPとcronの不具合を利用しmacOS 10.13.1 High Sierraで非rootユーザーがroot権限を得られる脆弱性が発見されたもよう。
SIPとcronの不具合を利用しmacOS 10.13.1 High Sierraで非rootユーザーがroot権限を得られる脆弱性が発見された様です。詳細は以下から。 イギリスPosixOne Ltdのエンジニアでセキュリティ研究者のMark Wadhamさんはあるソフトウェアのセキュリティ調査を行っていた際、macOS 10.13.1でセキュリティ整合性保護機能(SIP:通称rootless)で保護されていないファイルに非rootユーザーで書き込めてしまう不具合を発見したそうで、書き込みを行ったファイルは所有者がrootから変更されてしまうようですが、 Getting root on macOS High Sierra 10.13.1 (via insecure cron system) : https://t.co/i3EKDzdrP9 cc @m4rkw — Binni Shah
Appleのフィリップ・シラー氏、2017年を振り返る - iPhone Mania
Appleのワールドワイドマーケティング担当上級副社長を務めるフィリップ・シラー氏は、英メディアTelegraphのインタビューに答え、iPhone X発売や、HomePodの出荷遅延、masOSのセキュリティ問題など、Appleにとって2017年のハイライトともいえる事柄について最新の意見を述べました。 攻めるための「iPhone X」 iPhone Xの発表イベントにも登壇したフィリップ・シラー氏にとって、やはり2017年はiPhone Xなしに語ることはできません。英メディアTelegraphのインタビューでシラー氏は、AppleにとってiPhone Xは「攻め」の姿勢を最も反映した製品であることを強調しました。 iPhone8で次世代iPhoneを作るという目的は達成した。しかしながら同時に、もっと攻めるための、これまでのiPhoneから離れられるような何かを求めていたが、まさしく
MacやiOSのメールアプリを含む複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見される。
MacやiOSのメールアプリを含む、複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見されているそうです。詳細は以下から。 The Registerなどによると、MacやiOSのApple製メールアプリを含む複数のメールクライアントで既存の送信ドメイン認証技術DMARC(DKIM/SPF)やスパムメールフィルターを欺き、送信者を偽装することが出来る「Mailsploit」という脆弱性が発見されたそうです。 TL;DR: Mailsploit is a collection of bugs in email clients that allow effective sender spoofing and code injection attacks. The spoofing is not detected by Mail Transfer Agent
High Sierraのroot脆弱性「I am root」はmacOS v10.13.0からv10.13.1へのアップデートで再発する恐れがあるもよう。
High Sierraのroot脆弱性「I am root」はmacOS v10.13.0からv10.13.1へアップデートすると脆弱性が再発する可能性があるようです。詳細は以下から。 Appleは現地時間2017年11月28日からユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるroot権限昇格の脆弱性”CVE-2017-13872 “通称「I am root」について声明を出し、最新のセキュリティ・アップデートで修正しましたが、米WIREDや複数のMacユーザによるとこの脆弱性はパッチを当てたmacOS v10.13.0からv10.13.1へアップデートすると再発する可能性があるようです Mac Users: You know how Apple fixed that terrifying "root" problem? The latest update
macOS High Sierraのroot脆弱性CVE-2017-13872、通称「I am root」問題のまとめ。 | AAPL Ch.
macOS High Sierraのroot脆弱性CVE-2017-13872、通称「I am root」問題のまとめです。詳細は以下から。 現地時間2017年11月28日、トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートによって広まった脆弱性”CVE-2017-13872″は、ユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるというmacOSの根幹を揺るがすもので、Appleは問題が報道されてから24時間以内に複数の声明やセキュリティアップデートを提供したので、その経過を以下にまとめました。 以下のテーブルの日時の「日付」はあっていると思いますが、時刻までは正確ではないので日付だけを参考にして下さい。また、赤字はAppleの公式声明/リリースで「I am root (#iamroot)」というのはroot脆弱性”CVE-2017-
High Sierraのroot脆弱性は現在Betaユーザに公開されている「macOS 10.13.2 Build 17C83a」にも存在し、アップデートも提供されていないので注意を。
High Sierraのroot脆弱性は現在Betaユーザに公開されている「macOS 10.13.2 Build 17C83a」にも存在し、アップデートも提供されていないので注意して下さい。詳細は以下から。 Appleは現在2017年11月29日~30日にかけて、macOS 10.13.1 Build 17B48までのHigh Sierraを対象にrootユーザのパスワード無しに管理者アカウントでログインできてしまう脆弱性”CVE-2017-13872″を修正する「Security Update 2017-001」をリリースしましたが、この脆弱性は現在Betaユーザに公開されているmacOS 10.13.2 Build 17C83a以前にも存在しているそうです。 @MacRumors @MKBHD @UnboxTherapy – MacOS High Sierra Root bug st
macOS High Sierraのrootログイン脆弱性 - ろば電子が詰まつてゐる
2017/11/30更新:セキュリティアップデートがリリースされました。 https://support.apple.com/ja-jp/HT208315 このアップデートを当てると、rootユーザを有効にした状態でも強制的に無効にされます。また、改めてrootユーザを有効にしようとすると、新しいパスワードを求められます。 このため本記事に記載した、「パスワードが空のrootユーザ」がいる状態の問題も、自動的に解決されます。 - 本日話題になった、いとも簡単にmacOS High Sierraでrootが取れるという件について、色々落とし穴が多いのでまとめてみました。 対象 High Sierra 10.13.1(2017/11/29現在の最新) 予備知識 通常、High Sierraではrootユーザは無効となっています。これは次のように、「ディレクトリユーティリティ」を使うと「ルートユ
アップル、「macOS」にrootでログインできる脆弱性を修正
Appleは、パスワードなしで「root」というユーザー名でログインし、管理者の全権限が使用できる「macOS High Sierra」最新版のセキュリティ脆弱性に対する修正を発行した。 Appleは米国時間11月28日、このバグの存在を認め、この問題に対応するためのソフトウェアアップデートに取り組んでいると述べていた。それから24時間以内にその修正がリリースされた。詳細については同社のサポートページを参照してほしい。 またAppleは、以下の声明を出した。 「セキュリティはすべてのApple製品における最優先事項であり、macOSの今回のリリースで問題が生じてしまったのは遺憾である。 セキュリティ技術者は28日午後にこの問題に気づき、直ちにこのセキュリティ脆弱性を修正するアップデートに着手した。29日午前8時の時点で、アップデートはダウンロード提供されており、29日中にmacOS Hig
macOS 10.13 High Sierraのrootログイン脆弱性の怖さが分かる動画。
macOS 10.13 High Sierraのrootログイン脆弱性の怖さが分かる動画を幾つかまとめておきます。詳細は以下から。 日本時間の2017年11月29日 午前3時頃にトルコのソフトウェアエンジニアLemi Orhan ErginさんがツイートしたHigh Sierraの脆弱性はユーザ名に「root」と入力するだけで、パスワード無しに簡単に管理者権限を得られることから様々な方々が再現し、JPCERT/CCも注意喚起を出していますが、この脆弱性(不具合)によりHigh SierraのMacにどのような危険性が生じているかを分かりやすく把握出来る動画を幾つかまとめました。 物理的にアクセス出来る場合 もし、rootユーザにパスワードが設定されていないHigh SierraのMacが放置されていた場合、悪意のあるユーザーは以下の様にMacを再起動またはログアウト状態からユーザ名「roo
macOS最新版に深刻な欠陥|NHK 首都圏のニュース
アメリカの大手IT企業「アップル」が提供しているパソコンの基本ソフト「macOS」の最新版に、所有者が設定したIDやパスワードを知らなくても、第三者が勝手にログインできる深刻な欠陥があることがわかりました。 欠陥が見つかったのは、アップルの基本ソフト「macOS」のうち、ことし9月から提供が始まった「High Sierra」と呼ばれる最新版です。 この基本ソフトを巡り、日本時間の28日、「ユーザーの名前に『root』と入力すると、パスワードがなくても誰でもログインできてしまう」と深刻な欠陥を指摘する声がインターネット上であがりました。 NHKが試したところ、設定変更の画面でパスワードを空欄にしたままIDに「root」と入れると、所有者が設定したIDやパスワードではないのに、さまざまな設定を変更できることが確認されました。 この結果、第三者が勝手にパソコンを開き、中のファイルを見たり元のパス
High Sierraでユーザ名に「root」を利用するだけで管理者アカウントでログインできてしまう不具合は数週間前に開発者フォーラムにTipとして共有されていたもよう。
macOS 10.13 High Sierraでユーザ名に「root」を利用するだけで、管理者アカウントでログインできてしまう不具合は数週間前にApple Developer ForumにTipsとして共有されていたそうです。詳細は以下から。 Mike Myersら複数の開発者のツイートによると、本日トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートから始まった「High Sierraでユーザ名に『root』を利用すると、パスワード無しで管理者アカウントでMacにログインできる」という不具合は、現地時間2017年11月13日付でchethan177というユーザーIDの方がApple Developer Forumに書き込んでいたそうです。 Perhaps nobody noticed two weeks ago when the root login vulner
macOS 10.13 High Sierraでユーザ名「root」を利用するだけでパスワード無しにシステム管理者でログインできる脆弱性はリモートデスクトップやVNCなどでも可能。
macOS 10.13 High Sierraでユーザ名「root」を利用するだけでパスワード無しにシステム管理者でログインできる脆弱性は画面共有やリモートデスクトップ、VNCなどでも可能となっています。詳細は以下から。 トルコSoftware Craftsman TurkeyのソフトウェアエンジニアLemi Orhan Erginさんが発見した「macOS 10.13 High Sierraでrootというユーザ名を利用しログインを連打するだけで、パスワード無しにシステム管理者でログインできてしまう」脆弱性は公開後数時間でAppleが声明を出す程になっていますが、iMoreによるとこの脆弱性は画面共有やVNC, リモートデスクトップなどでも有効だそうです。 So, anybody who has physical access to your Mac or can get through
Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法。
Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法を以下にまとめました。詳細は以下から。 macOS 10.13 ~ 10.13.1でユーザ名に「root」を利用するだけでパスワード無しにシステム管理者アカウントでMacにログインできてしまう不具合は、発見者であるLemi Orhan Erginさんのツイートが3時間で4,000RT以上され広く知れ渡ったようですが、 そのツイートに対し何人かの方々やMacRumorsなどのサイトが「一時的な措置としてrootアカウントを有効にし、パスワードを掛けることでパスワード無し(passwordless)問題を防ぐことが出来る」というコメントを出しているので、その方法を以下にまとめておきます。 rootアカウントを有効にしてパスワードを設定 macO
【対処法あり】Macの最新OSで「誰でも管理者権限でログインできる」最悪のバグが見つかる
パスワードなしで最大権限を持つスーパーユーザーでログイン可能 今回見つかったバグを発見したのは、Software Craftsmanship TurkeyのファウンダーであるLemi Orhan Ergin氏。 彼が投稿した内容は、「root」アカウントでパスワードなしでログインできてしまうというもの。 Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple? — Lemi Orhan Ergin (@lemiorhan) 2017年11月28日 いわゆる何
Apple、Wi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表。
AppleがWi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表しています。詳細は以下から。 Appleは現地時間2017年11月03日、iPhone Xの発売と合わせて10月31日にリリースした「iOS 11.1」のセキュリティコンテンツ情報をアップデートし、ベルギーのルーヴェン・カトリック大学のMathy Vanhoefさんによって発見されたWi-FiのWPA2に関する脆弱性KRACK(Key Reinstallation AttaCK)の一部はiPhone 7や6s/6シリーズ, iPhone SE/5s, iPad Air, 第6世代iPod Touch以下のデバイスに影響しないとコメントしています。 Wi-Fi Available for: iPhone 8, iPhone 8
Apple、Wi-Fi脆弱性を突いた攻撃にすでに対処と発表 - iPhone Mania
Wi-Fiネットワークの暗号化に用いられるWPA2プロトコルに脆弱性が見つかったという報道に注目が集まるなか、Appleが同社製品のOSについてはすでにパッチを配布しており、対応済みであることを明らかにしました。 WPA2プロトコルに脆弱性発見 ベルギーのルーヴェン・カトリック大学の研究者であるマシー・ヴァンホフ氏が、WPA2プロトコルに鍵管理に関するいくつかの脆弱性を発見したことを、イギリス・ロンドンで12月に開催されるセキュリティカンファレンス「Black Hat Europe 2017」の講演予告に掲載した直後から、ネット上ではさまざまな情報が飛び交い、盛んに報道も行なわれました。 その後ヴァンホフ氏は、現地時間10月16日に脆弱性の詳細な情報を特設サイトで公開しています。脆弱性は全部で10件で、クライアントである機器とWi-Fiのアクセスポイントが接続を確立する際に行なわれる「4ウ
Apple、WPA2の脆弱性「KRACKs」を次期macOS/iOSアップデートで修正すると発表。
Apple、WPA2の脆弱性「KRACKs」を次期macOS/iOSアップデートで修正すると発表しているそうです。詳細は以下から。 KRACKs(Key Reinstallation AttaCKs)はベルギーのルーヴェン・カトリック大学のセキュリティ研究者Mathy Vanhoefさんが公開したWPA2の脆弱性(CVEで10件)の総称で、WPA2を利用するほぼ全てのWi-Fiデバイスがこの影響を受け、 Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2より PDF パケットの盗聴や中間者攻撃などを受ける可能性があり、既にLinuxおよびAndroidを利用したKRACKsの検証動画を公開していますが、この脆弱性はAESなどの暗号化アルゴリズムを破るものではなく、Wi-Fi Allianceはこの脆弱性はパッチで修正可能だというコ
macOS High Sierra 10.13追加アップデートを適用後、GatekeeperやMRTのデータがダウングレードされる問題が確認される。
macOS High Sierra 10.13追加アップデートを適用後、GatekeeperやMRTのデータがダウングレード(古いデータに置き換わる)問題が確認されているそうです。詳細は以下から。 先日、アメリカのセキュリティ企業Digita Securityが「High Sierraのインストーラに古いXProtectのデータが同梱され、SierraからアップグレードしたMacで最新のXProtectを利用できない不具合」があるというレポートを出していましたが、 元MacUserマガジンのライターHoward Oakleyさんによると、Appleが現地時間2017年10月05日に公開した追加アップデートにも同様の問題があり、XProtectの他、悪意のある開発者が作成したアプリをブロックする「Gakekeeper」およびマルウェアを検出&削除を行う「Malware Removal Too
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
