蘋果 macOS 再曝漏洞，輸任意密碼可進入 App Store 首選項

點擊上方「CSDN」，選擇關注

關鍵時刻，第一時間送達！

據外媒 MacRumors 今日報道，蘋果當前版本的 macOS High Sierra 再曝安全漏洞，它允許輸入任意密碼解鎖系統設置中的 App Store。

MacRumors 表示，通過以下步驟在管理員帳戶上能夠重現 macOS High Sierra 10.13.2 版（操作系統的最新公開版）上的漏洞問題：

• 打開系統首選項；

• 進入 App Store 設置；

• 查看加鎖圖標（如果是處於沒有加鎖的狀態，那麼首先加鎖）；

• 點擊掛鎖圖標；

• 輸入任意用戶名和密碼，即可點擊解鎖。

通過這個首選項面板，用戶可以啟用/禁用應用和操作系統的下載升級和自動安裝——儘管這個漏洞不像去年 11 月爆出的許可權登錄漏洞一樣嚴重，且似乎並不會立即帶來安全風險，但如果有人使用過你的電腦，那麼他們可以禁用自動安全更新，進一步利用原本應當被修復好的漏洞。

2017 年 11 月，蘋果 macOS 系統曝出「root」許可權登錄漏洞，無需密碼即可解鎖電腦：用戶只需進入"系統偏好"設置，選擇"用戶和組"，點擊解鎖按鈕，這時會彈出一個提示框要求輸入用戶名和密碼才能變更設置；接下來只需在用戶名一欄中輸入"root"，密碼不用填，多次點擊解鎖後即可成功進入系統。

此後，蘋果官方緊急推送了 macOS 的安全更新，以修復這一漏洞。

不過正如報告中所述，此次漏洞影響中，非管理員用戶的錯誤密碼並不能解鎖 App Store 首選項登錄，也就是說，標準用戶的帳戶和密碼不會造成影響。因為在默認情況下，App Store 設置對管理員用戶是解鎖的，管理員用戶可以自行選擇是否鎖定所有的系統設置，以確保沒有其他人能改動這些設置。此外，在 macOS Sierra 10.2.6 版本或是更低的版本中也不存在這個漏洞，用戶可放心使用。

據悉，目前蘋果已經修復了 macOS 10.13.3 最新測試版本中的 bug，但該版本現仍處於測試階段，發布時間待定。

該漏洞爆發後，蘋果官方立即回應：

非常抱歉帶來這個錯誤，我們向所有的 Mac 用戶深表歉意，包括發布這個漏洞以及造成的影響。目前我們正在審核開發流程，以防止這種情況再次發生。

對於受到漏洞影響的用戶來說，如果你將 App Store 偏好設置保持在了鎖定狀態，則需要在不使用 Mac 時確保退出管理員帳戶。或者，在 macOS 10.13.3 發布之前，用戶使用標準帳戶而不是管理員帳戶。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！