注意！macOS 系統的 App Store不用輸入密碼可以任意下載？

本周在Open Radar上提交的 一個錯誤報告揭示了macOS High Sierra當前版本中的一個主要安全漏洞，該漏洞允許使用任何密碼解鎖系統偏好設置中的App Store菜單。

MacRumors能夠按照以下步驟在管理員級帳戶上重現macOS High Sierra版本10.13.2（操作系統的最新公開版本）中的問題：

?1. 單擊系統首選項。

?2. 點擊App Store。

?3. 如果需要，點擊掛鎖圖標將其鎖定。

?4. 再次點擊掛鎖圖標。

?5. 輸入您的用戶名和密碼。

?6. 點擊解鎖。

正如前邊中所提到的，「系統偏好設置」不接受使用非管理員帳戶的錯誤密碼。

我們無法在macOS High Sierra 10.13.3的第三版或第四版中重現此問題，這表明蘋果已經修復了即將發布的版本中的安全漏洞。但是，更新目前仍在測試中。

MacRumors也無法重現macOS Sierra版本10.12.6上的問題，提示該問題僅影響macOS High Sierra。

這個安全漏洞的影響是相當嚴重的。任何對Mac有物理或遠程訪問許可權的人都可以解鎖App Store偏好設置，並啟用或禁用設置以自動安裝macOS更新，應用程序更新，系統數據文件，甚至安全更新。

這是第二個主要與密碼相關的bug影響的MacOS高獅子山在數月，下列重大安全漏洞，該漏洞使訪問根超級用戶帳戶在MacOS海伊謝拉版本10.13.1密碼為空，蘋果固定與補充安全更新。

在root密碼漏洞之後，蘋果公司在一份聲明中表示歉意，並補充說，它正在審計其開發過程以防止這種情況再次發生，所以這看起來不太好。

我們非常遺憾這個錯誤，我們向所有的Mac用戶表示歉意，包括發布這個漏洞以及引起的關注。我們的客戶應該得到更好。我們正在審核我們的開發流程，以防止這種情況再次發生。

蘋果可能會儘快修復這個最新的安全漏洞，所以我們可能會看到類似的補充更新，或者可能會快速跟蹤macOS High Sierra 10.13.3版的發布。蘋果公司並沒有立即回應我們對此事發表評論的要求。

與此同時，我們不能想到這個問題的一個明顯的解決方法，所以如果你保持你的App Store偏好鎖定，你需要密切關注你的Mac，直到進一步通知。如果我們了解解決方案，我們將分享。

我們仍在進一步調查以確認macOS High Sierra版本10.13或10.13.1是否受到影響。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！