セキュリティ ブログ「Defense in Depth」の新しい投稿で、OS X Lion に重大な新しいセキュリティ上の欠陥が見つかったことが明らかになりました。この欠陥により、マシンにアクセスできる誰でも管理者パスワードを表示および変更できる可能性があります。
報告によると、Lion では非ルート ユーザーでもパスワード ハッシュ データを表示できるため、非常に単純な Python スクリプトを使用してそのユーザーのパスワードを明らかにすることができます。
残念ながら、状況はさらに悪化します。Lionでは現在のユーザーのパスワードを変更する際にパスワードが不要であるため、単純なターミナルコマンドを入力するだけでユーザーの管理者パスワードを別のパスワードに変更できてしまうのです。このセキュリティエクスプロイトは、ユーザーがMacに直接アクセスでき、ディレクトリサービスにアクセスできる場合にのみ利用可能です。
この種のセキュリティ侵害を防ぐには、自動ログインの無効化、スリープおよびスクリーンセーバーのパスワードの有効化、ゲストアカウントの無効化など、いずれも推奨されます。このレポートを共有してくださったBGRに感謝します。
