最新のmacOS High Sierraでまたもセキュリティに関するバグが発見されています。
App Storeの設定が任意のパスワードあるいはパスワードを入力せずにロック解除できてしまうというバグをMac Rumorsが伝えています。
記事によれば、最新バージョンのmacOS High Sierra 10.13.2で、次の手順でこの問題を再現できます。
- システム環境設定を開く
- App Storeを開く
- 左下の鍵アイコンが開いている場合は閉じてロックする
- 鍵アイコンをクリックして開く
- ユーザー名とパスワードを確認するダイアログが開くので、ユーザー名と任意のパスワードあるいはパスワードを入力せずに「ロックを解除」ボタンをクリックする
- ロック解除可能
手元のMacBookで試したところ再現できました。ユーザー名は適当なものを入力しても可能でした。
なお、Mac Rumorsによれば、この問題は現在ベータ版の提供されているmacOS High Sierra 10.13.3では再現できません。また、macOS Sierra 10.12.6でも再現できなかったそうです。
一見すると大きな問題のように見えますが、実はそこまで大騒ぎすることでもなさそうです。
実際に試してみるとわかりますが、管理者権限のユーザーがシステム設定にあるApp Storeを開くと、デフォルトで鍵がロックされていません。最初からロック解除状態のため、通常ここでパスワードを入力することはありません。
また、この問題はApp Store設定項目のみであり、他の設定項目では再現できなかったようです。試しに「セキュリティとプライバシー」で上記手順を試みたところロック解除できませんでした。
macOS High Sierraでは、昨年11月にパスワードを入力せずにログインできてしまう脆弱性が発見が発見されていました。
この脆弱性はすぐにセキュリティアップデートが提供されましたが、今回、またもセキュリティ上の懸念を示すことになってしまいました。
今回の問題は現在テスト中のmacOS High Sierra 10.13.3ベータ版ではすでに修正されています。ユーザーとしてはAppleの対応を待つほかなく、その一般公開の前に前回のように修正アップデートが出るか、10.13.3のリリースを待つ必要があります。