當前位置:
首頁 > 新聞 > macOS又爆出密碼漏洞:App Store系統偏好設置可被任意密碼解鎖

macOS又爆出密碼漏洞:App Store系統偏好設置可被任意密碼解鎖

近日在Mac家園中爆出一個蘋果 0day漏洞 ,它可以讓任何人無需密碼訪問你的App Store偏好設置,不過前提是你的Mac電腦處於解鎖狀態。

你能夠通過以下步驟在管理員級帳戶上重現macOS High Sierra 10.13.2版(操作系統的最新公開版)上的漏洞:

1.點擊系統偏好設置;

2.點擊App Store;

3.如果需要,點擊掛鎖圖標將其鎖定;

4.再次點擊掛鎖圖標;

5.輸入你的用戶名和密碼;

6.點擊解鎖。

這意味著任何人都不需要用戶名或密碼,就可以訪問你的mac。該漏洞允許任何人使用任何密碼,比如一個字母或一個數字來訪問「首選項」面板中的App Store設置。其實最新的macOS High Sierra 10.13.3測試版並不存在這個漏洞,這意味著蘋果早發現了該漏洞,並修復了它。 但問題是,世界上大部分地區的Mac電腦仍然使用macOS 10.13.2或10.13.1甚至10.13,而macOS 10.13.3軟體更新還需要幾周的時間。

也就是說蘋果已經修復了macOS 10.13.3的最新測試版本中的漏洞,而該版本目前仍處於測試階段,可能會在本月的某個時候發布。不過在macOS Sierra版本10.12.6或更低版本中不存在該漏洞。

在當前的macOS 10.13.2上,這個漏洞讓任何人在系統首選項中設置中,使用任意密碼來打開App Store首選項頁面。利用這個漏洞,用戶可以啟用或者禁用應用和操作系統升級下載和安裝等喜好設定。

這是近幾個月來第二個與密碼設置相關的漏洞,它是在macOS High Sierra版本10.13.1上使用一個空白的密碼訪問root超級用戶帳戶的一個安全漏洞,而蘋果則通過附加的安全更新來修復。

在root密碼漏洞之後,蘋果公司在一份聲明中表示歉意,並補充說,他們正在「審計其開發過程以防止再次發生」,所以這是一個相當令人尷尬的事情。

值得注意的是,默認情況下,App Store首選項在管理員帳戶中處於解鎖狀態,並且由於此菜單中的設置不太敏感,因此此漏洞不像第一個密碼的根漏洞那麼嚴重。

蘋果可能會儘早修復這個漏洞,所以有可能我們會看到類似的補充更新,或者可能會隨macOS High Sierra版本10.13.3一起發布。與此同時,如果你將App Store偏好設置保持鎖定狀態,則需要更加確保在遠離Mac時退出管理員帳戶,或者,在macOS 10.13.3發布之前,用戶可以使用標準帳戶而不是管理員帳戶。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

最新研究:英特爾AMT安全鎖可被繞過,影響百萬筆記本電腦

TAG:嘶吼RoarTalk |