Appleは今年に入ってセキュリティ面で少々苦戦しており、最近発生したFlashbackトロイの木馬をはじめとする脅威は、多くの人々の記憶にまだ新しい。しかし、これまでのところこれらの問題はAppleの責任ではないことは注目に値する。しかし残念ながら、セキュリティ研究者のDavid Emery氏が最近指摘した新たなセキュリティバグについては、Appleの責任ではないと言える。
ZDNet は 次のように報じている。
Appleのプログラマーが、どうやら誤って最新バージョンのMac OS Xオペレーティングシステムにデバッグフラグを残してしまったようです。特定の設定では、OS X Lionアップデート10.7.3を適用すると、システム全体のデバッグログファイルが有効になり、アップデート適用後にログインしたすべてのユーザーのログインパスワードが記録されます。パスワードは平文で保存されます。
Lion以前のMacでFileVault暗号化を使用し、Lionにアップグレードした後も、フォルダを旧バージョンのFileVaultで暗号化したままにしていたユーザーは、この脆弱性の影響を受けます。FileVault 2(ディスク全体の暗号化)は影響を受けません。
この問題は、Lionにアップグレードする前にAppleのFileVault保護をデバイスに適用し、古いバージョンのFileVaultを使用しているユーザーに発生します。さらに悪いことに、ログインパスワードはTime Machineバックアップから抽出できるほか、マシンをターゲットディスクモードで起動することでも抽出可能です。また、OS X Lionのリカバリパーティションからもユーザーパスワードにアクセス可能です。
これはかなり重大な脅威であり、誰でも保護されたアカウントに侵入し、ユーザー名とパスワードを知らなくても任意のファイルにアクセスして閲覧することができ、ユーザーの機密情報が危険にさらされることになります。
しかし、朗報としては、このセキュリティ ホールはマシンとそのバックアップへの直接アクセスを必要とし、少数のユーザーにのみ適用され、最新バージョンの FileVault を使用して簡単に修正できることです。
幸いなことに、プレーンテキストのパスワードを含むファイルは数週間しか保存されませんが、Time Machineバックアップを使用している場合は引き続きリスクにさらされます。問題が解決するまで、ユーザーにとって最善の保護策は、OS X LionにFileVault 2を適用することです。
このバグは3か月前にAppleサポートコミュニティで提起されたが、返答はなかったものの、この問題には現在多くの注目が集まっていることを考えると、Appleは近い将来にこの問題の修正プログラムをリリースする可能性が高い。
この問題について何か新しい情報が入りましたら、すぐにお知らせします。
