注意!macOS 系統的 App Store不用輸入密碼可以任意下載?
本周在Open Radar上提交的 一個錯誤報告揭示了macOS High Sierra當前版本中的一個主要安全漏洞,該漏洞允許使用任何密碼解鎖系統偏好設置中的App Store菜單。
MacRumors能夠按照以下步驟在管理員級帳戶上重現macOS High Sierra版本10.13.2(操作系統的最新公開版本)中的問題:
?1. 單擊系統首選項。
?2. 點擊App Store。
?3. 如果需要,點擊掛鎖圖標將其鎖定。
?4. 再次點擊掛鎖圖標。
?5. 輸入您的用戶名和密碼。
?6. 點擊解鎖。
正如前邊中所提到的,「系統偏好設置」不接受使用非管理員帳戶的錯誤密碼。
我們無法在macOS High Sierra 10.13.3的第三版或第四版中重現此問題,這表明蘋果已經修復了即將發布的版本中的安全漏洞。但是,更新目前仍在測試中。
MacRumors也無法重現macOS Sierra版本10.12.6上的問題,提示該問題僅影響macOS High Sierra。
這個安全漏洞的影響是相當嚴重的。任何對Mac有物理或遠程訪問許可權的人都可以解鎖App Store偏好設置,並啟用或禁用設置以自動安裝macOS更新,應用程序更新,系統數據文件,甚至安全更新。
這是第二個主要與密碼相關的bug影響的MacOS高獅子山在數月,下列重大安全漏洞,該漏洞使訪問根超級用戶帳戶在MacOS海伊謝拉版本10.13.1密碼為空,蘋果固定與補充安全更新。
在root密碼漏洞之後,蘋果公司在一份聲明中表示歉意,並補充說,它正在審計其開發過程以防止這種情況再次發生,所以這看起來不太好。
我們非常遺憾這個錯誤,我們向所有的Mac用戶表示歉意,包括發布這個漏洞以及引起的關注。我們的客戶應該得到更好。我們正在審核我們的開發流程,以防止這種情況再次發生。
蘋果可能會儘快修復這個最新的安全漏洞,所以我們可能會看到類似的補充更新,或者可能會快速跟蹤macOS High Sierra 10.13.3版的發布。蘋果公司並沒有立即回應我們對此事發表評論的要求。
與此同時,我們不能想到這個問題的一個明顯的解決方法,所以如果你保持你的App Store偏好鎖定,你需要密切關注你的Mac,直到進一步通知。如果我們了解解決方案,我們將分享。
我們仍在進一步調查以確認macOS High Sierra版本10.13或10.13.1是否受到影響。
※注意Android安全問題:Play商店中發現第一個基於Kotlin的惡意軟體
TAG:i數碼新鮮匯 |