注意!macOS 系统的 App Store不用输入密码可以任意下载?

本周在Open Radar上提交的 一个错误报告揭示了macOS High Sierra当前版本中的一个主要安全漏洞,该漏洞允许使用任何密码解锁系统偏好设置中的App Store菜单。

MacRumors能够按照以下步骤在管理员级帐户上重现macOS High Sierra版本10.13.2(操作系统的最新公开版本)中的问题:

•1. 单击系统首选项。

•2. 点击App Store。

•3. 如果需要,点击挂锁图标将其锁定。

•4. 再次点击挂锁图标。

•5. 输入您的用户名和密码。

•6. 点击解锁。

正如前边中所提到的,“系统偏好设置”不接受使用非管理员帐户的错误密码。

我们无法在macOS High Sierra 10.13.3的第三版或第四版中重现此问题,这表明苹果已经修复了即将发布的版本中的安全漏洞。但是,更新目前仍在测试中。

MacRumors也无法重现macOS Sierra版本10.12.6上的问题,提示该问题仅影响macOS High Sierra。

这个安全漏洞的影响是相当严重的。任何对Mac有物理或远程访问权限的人都可以解锁App Store偏好设置,并启用或禁用设置以自动安装macOS更新,应用程序更新,系统数据文件,甚至安全更新。

这是第二个主要与密码相关的bug影响的MacOS高塞拉利昂在数月,下列重大安全漏洞,该漏洞使访问根超级用户帐户在MacOS海伊谢拉版本10.13.1密码为空,苹果固定与补充安全更新。

在root密码漏洞之后,苹果公司在一份声明中表示歉意,并补充说,它正在审计其开发过程以防止这种情况再次发生,所以这看起来不太好。

我们非常遗憾这个错误,我们向所有的Mac用户表示歉意,包括发布这个漏洞以及引起的关注。我们的客户应该得到更好。我们正在审核我们的开发流程,以防止这种情况再次发生。

苹果可能会尽快修复这个最新的安全漏洞,所以我们可能会看到类似的补充更新,或者可能会快速跟踪macOS High Sierra 10.13.3版的发布。苹果公司并没有立即回应我们对此事发表评论的要求。

与此同时,我们不能想到这个问题的一个明显的解决方法,所以如果你保持你的App Store偏好锁定,你需要密切关注你的Mac,直到进一步通知。如果我们了解解决方案,我们将分享。

我们仍在进一步调查以确认macOS High Sierra版本10.13或10.13.1是否受到影响。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180111A00XRX00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券