macOS High Sierraに、パスワードなしでrootアカウントを利用できるという脆弱性が見つかりましたね。
このままではうかうかとスタバでドヤリングもできないと思うので、対処方法を紹介します。
パスワードなしでrootアカウントを利用できる脆弱性(ヤバイ)
rootアカウントってのは管理者権限があるアカウントで、まぁだいたいなんでもできるくらいのやつ。これがパスワード不要で使われるとまずいですよ!
実際にやってみました。
ご覧の通り、ユーザー名を「root」にするとパスワードを入れることなくログインできてしまいました。良い子はマネしちゃだめだゾ!
対処方法
このままではどう考えてもあかんので、対処しましょう。
対処と言ってもそんなに難しいことはなく、rootアカウントにパスワードを設定するだけです。
システム環境設定を開き、「ユーザーとグループ」をクリック。
左下の鍵アイコンをクリックします。
ログインしているユーザーのパスワードを聞かれるので、パスワードを入力してロックを解除。
ユーザー名に「root」を指定するとパスワードなしでロックが解除できますが、ログインしているユーザーで実行したほうがいいでしょう。
鍵のロックが外れたら、ログインオプション > 接続 とクリック
ウインドウが出るので「ディレクトリユーティリティを開く…」をクリック。
ディレクトリユーティリティが開いたら、左下の鍵アイコンをクリックします。
ログインしているユーザーのパスワードを聞かれるので、パスワードを入力してロックを解除(ここでは指紋認証を使っています)。
「ユーザーとグループ」同様、ユーザー名に「root」を指定するとパスワードなしでロックが解除できますが、ログインしているユーザーで実行したほうがいいと思います。
ロックが外れたら、メニューバーの「編集」>「ルートパスワードを変更…」をクリック。
上記画像では、既にルートユーザーでログインしているのでルートユーザーが有効になっておりルートパスワードが変更できますが、ルートパスワードの変更がグレーアウトしている場合は、ルートユーザーを有効にしてからパスワードを変更してください。
パスワードの変更画面が表示されるので、任意のパスワードを入力して「OK」をクリックします。
これでルートユーザーのパスワードが変更されたので、パスワードなしでログインできないようになります。
問題なさそうですね。
なかなかキツめの脆弱性が発見されてマジやばくね?って感じなので、Appleさんには早めに修正してもらいたいですね。