苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

点击上方“CSDN”,选择关注

关键时刻,第一时间送达!

据外媒 MacRumors 今日报道,苹果当前版本的 macOS High Sierra 再曝安全漏洞,它允许输入任意密码解锁系统设置中的 App Store。

苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

MacRumors 表示,通过以下步骤在管理员帐户上能够重现 macOS High Sierra 10.13.2 版(操作系统的最新公开版)上的漏洞问题:

  • 打开系统首选项;

  • 进入 App Store 设置;

  • 查看加锁图标(如果是处于没有加锁的状态,那么首先加锁);

  • 点击挂锁图标;

  • 输入任意用户名和密码,即可点击解锁。

苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

通过这个首选项面板,用户可以启用/禁用应用和操作系统的下载升级和自动安装——尽管这个漏洞不像去年 11 月爆出的权限登录漏洞一样严重,且似乎并不会立即带来安全风险,但如果有人使用过你的电脑,那么他们可以禁用自动安全更新,进一步利用原本应当被修复好的漏洞。

2017 年 11 月,苹果 macOS 系统曝出“root”权限登录漏洞,无需密码即可解锁电脑:用户只需进入"系统偏好"设置,选择"用户和组",点击解锁按钮,这时会弹出一个提示框要求输入用户名和密码才能变更设置;接下来只需在用户名一栏中输入"root",密码不用填,多次点击解锁后即可成功进入系统。

苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

此后,苹果官方紧急推送了 macOS 的安全更新,以修复这一漏洞。

不过正如报告中所述,此次漏洞影响中,非管理员用户的错误密码并不能解锁 App Store 首选项登录,也就是说,标准用户的帐户和密码不会造成影响。因为在默认情况下,App Store 设置对管理员用户是解锁的,管理员用户可以自行选择是否锁定所有的系统设置,以确保没有其他人能改动这些设置。此外,在 macOS Sierra 10.2.6 版本或是更低的版本中也不存在这个漏洞,用户可放心使用。

据悉,目前苹果已经修复了 macOS 10.13.3 最新测试版本中的 bug,但该版本现仍处于测试阶段,发布时间待定。

该漏洞爆发后,苹果官方立即回应:

非常抱歉带来这个错误,我们向所有的 Mac 用户深表歉意,包括发布这个漏洞以及造成的影响。目前我们正在审核开发流程,以防止这种情况再次发生。

对于受到漏洞影响的用户来说,如果你将 App Store 偏好设置保持在了锁定状态,则需要在不使用 Mac 时确保退出管理员帐户。或者,在 macOS 10.13.3 发布之前,用户使用标准帐户而不是管理员帐户。

相关推荐