蘋果 macOS 再曝漏洞,輸任意密碼可進入 App Store 首選項
點擊上方「CSDN」,選擇關注
關鍵時刻,第一時間送達!
據外媒 MacRumors 今日報道,蘋果當前版本的 macOS High Sierra 再曝安全漏洞,它允許輸入任意密碼解鎖系統設置中的 App Store。
MacRumors 表示,通過以下步驟在管理員帳戶上能夠重現 macOS High Sierra 10.13.2 版(操作系統的最新公開版)上的漏洞問題:
打開系統首選項;
進入 App Store 設置;
查看加鎖圖標(如果是處於沒有加鎖的狀態,那麼首先加鎖);
點擊掛鎖圖標;
輸入任意用戶名和密碼,即可點擊解鎖。
通過這個首選項面板,用戶可以啟用/禁用應用和操作系統的下載升級和自動安裝——儘管這個漏洞不像去年 11 月爆出的許可權登錄漏洞一樣嚴重,且似乎並不會立即帶來安全風險,但如果有人使用過你的電腦,那麼他們可以禁用自動安全更新,進一步利用原本應當被修復好的漏洞。
2017 年 11 月,蘋果 macOS 系統曝出「root」許可權登錄漏洞,無需密碼即可解鎖電腦:用戶只需進入"系統偏好"設置,選擇"用戶和組",點擊解鎖按鈕,這時會彈出一個提示框要求輸入用戶名和密碼才能變更設置;接下來只需在用戶名一欄中輸入"root",密碼不用填,多次點擊解鎖後即可成功進入系統。
此後,蘋果官方緊急推送了 macOS 的安全更新,以修復這一漏洞。
不過正如報告中所述,此次漏洞影響中,非管理員用戶的錯誤密碼並不能解鎖 App Store 首選項登錄,也就是說,標準用戶的帳戶和密碼不會造成影響。因為在默認情況下,App Store 設置對管理員用戶是解鎖的,管理員用戶可以自行選擇是否鎖定所有的系統設置,以確保沒有其他人能改動這些設置。此外,在 macOS Sierra 10.2.6 版本或是更低的版本中也不存在這個漏洞,用戶可放心使用。
據悉,目前蘋果已經修復了 macOS 10.13.3 最新測試版本中的 bug,但該版本現仍處於測試階段,發布時間待定。
該漏洞爆發後,蘋果官方立即回應:
非常抱歉帶來這個錯誤,我們向所有的 Mac 用戶深表歉意,包括發布這個漏洞以及造成的影響。目前我們正在審核開發流程,以防止這種情況再次發生。
對於受到漏洞影響的用戶來說,如果你將 App Store 偏好設置保持在了鎖定狀態,則需要在不使用 Mac 時確保退出管理員帳戶。或者,在 macOS 10.13.3 發布之前,用戶使用標準帳戶而不是管理員帳戶。
TAG:CSDN |