注意！macOS 系统的 App Store不用输入密码可以任意下载？

本周在Open Radar上提交的 一个错误报告揭示了macOS High Sierra当前版本中的一个主要安全漏洞，该漏洞允许使用任何密码解锁系统偏好设置中的App Store菜单。

MacRumors能够按照以下步骤在管理员级帐户上重现macOS High Sierra版本10.13.2（操作系统的最新公开版本）中的问题：

•1. 单击系统首选项。

•2. 点击App Store。

•3. 如果需要，点击挂锁图标将其锁定。

•4. 再次点击挂锁图标。

•5. 输入您的用户名和密码。

•6. 点击解锁。

正如前边中所提到的，“系统偏好设置”不接受使用非管理员帐户的错误密码。

我们无法在macOS High Sierra 10.13.3的第三版或第四版中重现此问题，这表明苹果已经修复了即将发布的版本中的安全漏洞。但是，更新目前仍在测试中。

MacRumors也无法重现macOS Sierra版本10.12.6上的问题，提示该问题仅影响macOS High Sierra。

这个安全漏洞的影响是相当严重的。任何对Mac有物理或远程访问权限的人都可以解锁App Store偏好设置，并启用或禁用设置以自动安装macOS更新，应用程序更新，系统数据文件，甚至安全更新。

这是第二个主要与密码相关的bug影响的MacOS高塞拉利昂在数月，下列重大安全漏洞，该漏洞使访问根超级用户帐户在MacOS海伊谢拉版本10.13.1密码为空，苹果固定与补充安全更新。

在root密码漏洞之后，苹果公司在一份声明中表示歉意，并补充说，它正在审计其开发过程以防止这种情况再次发生，所以这看起来不太好。

我们非常遗憾这个错误，我们向所有的Mac用户表示歉意，包括发布这个漏洞以及引起的关注。我们的客户应该得到更好。我们正在审核我们的开发流程，以防止这种情况再次发生。

苹果可能会尽快修复这个最新的安全漏洞，所以我们可能会看到类似的补充更新，或者可能会快速跟踪macOS High Sierra 10.13.3版的发布。苹果公司并没有立即回应我们对此事发表评论的要求。

与此同时，我们不能想到这个问题的一个明显的解决方法，所以如果你保持你的App Store偏好锁定，你需要密切关注你的Mac，直到进一步通知。如果我们了解解决方案，我们将分享。

我们仍在进一步调查以确认macOS High Sierra版本10.13或10.13.1是否受到影响。