苹果新版macOS又出漏洞：任意密码可解锁App Store设置

App Store设置可用任意密码解锁

据科技博客MacRumors北京时间1月11日报道，Open Radar网站本周发布的一份漏洞报告曝光了当前macOS HighSierra系统版本的一个安全漏洞。该漏洞导致App Store在偏好设置中的菜单可以使用任意密码解锁。

经过验证，在苹果最新macOS High Sierra10.13.2系统中，使用管理员级别的账号就可以重现上述漏洞。首先，点击系统偏好设置，然后点击AppStore，查看是否已经上锁，如果没有上锁点击上锁。再点击已上锁的图标时，系统会提示输入用户名和密码。输入用户名和任意密码后，就可完成解锁。

可以确认的是，如果使用的不是管理员账户，那么系统无法使用错误的密码解锁App Store偏好设置。这一漏洞也不存在于macOS Sierra10.2.6或更早版本中。

苹果已经在最新版macOS Sierra 10.13.3中修复了这一漏洞，该系统仍在测试过程中，很可能在本月某个时候发布。

在当前macOS High Sierra10.13.2系统中，该漏洞能够允许任何人以管理员身份修改Mac设置，禁用与自动安装macOS更新、安全以及应用更新相关的设置。

这已经是macOS High Sierra系统出现的第二次与密码相关的漏洞。此前，macOS High Sierra10.13.1曝出重大安全漏洞。用户不需要密码，只需输入用户名“root”即可进入系统。

需要指出的是，在管理员账号下，AppStore的偏好设置是默认解锁的，因为菜单中的设置并不是十分敏感。这一漏洞没有上一次的“root”漏洞那么严重。

编辑：齐少恒