これまでのところ、少なくともPRに関しては、Macのセキュリティにとって良い年ではありませんでした。そして、Appleという醜いものになりつつあります。 プログラマーは、アップデートがに配布される前に、OS X10.7.3のセキュリティ設定でデバッグスイッチをオフにするのを忘れていました。 公衆。
結果? OS X 10.7.3を実行している場合、ログインパスワードは、ハードドライブの暗号化されていない簡単にアクセスできるセクションにプレーンテキストで保存される場合があります。
大規模なSNAFUは、セキュリティ研究者のDavid Emeryによって発見されました。彼は、すべてのユーザーログインパスワードが Lion、OS Xに対する最新のAppleセキュリティアップデートの一部のディストリビューションで、システム全体のデバッグログファイルに実際のテキストで保存されます 10.7.3.
エメリーによれば、これは深刻な問題です。このファイルとそれに含まれるすべてのパスワードは、コンピューターに物理的またはリモートでアクセスできる人なら誰でも簡単にアクセスできるためです。
問題のログは、マシンをFirewireディスクモードで起動し、ドライブを開いて読み取ることでも読み取ることができるため、これは見た目よりも悪いです。 ディスクとして、またはnew-with-LIONリカバリパーティションを起動し、使用可能なスーパーユーザーシェルを使用してメインファイルシステムパーティションをマウントし、 ファイル。 これにより、ログインパスワードがわからないマシンで、暗号化されたパーティションに侵入する可能性があります。
さらに悪いことに、外付けドライブのTime Machineバックアップに影響し、Filevailtを使用しているコンピューターでさえ、ハッカーがログファイルにアクセスするのを防ぐことはできません。
Emeryによると、Appleがこの全体にパッチを適用するまで自分自身を保護する最善の方法は、Filevault2のディスク全体の暗号化も使用することです。 ハッカーがコンピュータをFireWireディスクモードで起動してディスクにアクセスするのを防ぐためにファームウェアパスワードが必要になるためです。
Appleが今後数日でこの問題の修正を急ぐことはないようですが、フラッシュバックの余波で、このような愚かな失敗はタイミングが悪いです。 消費者はすでに、Macが従来考えていたほど安全ではないのではないかと心配し始めています。 Appleは、ユーザーが最新のOS Xアップデートを送信する前に、ユーザーのシステムを再保護することを忘れて、その議論を助ける必要はありません。
ソース: クリプトーム
経由: ZDNet