苹果macOS再曝漏洞:输任意密码可进App Store首选项
来源:观察者网综合
2018-01-11 09:49
美国科技博客MacRumors10日报道称,当前版本的macOS High Sierra系统(10.13.2)出现了漏洞。用户可以输入任意密码解锁App Store首选项面板。有报道称,在macOS High Sierra的下次升级测试版中,苹果已修复这个漏洞。
用户可以通过以下几步测试这个漏洞:点击系统偏好设置;点击App Store;如果设置处于未加锁状态,点击加锁图标将其锁定;再次点击加锁图标;输入用户名和任意密码;点击解锁。
macOS High Sierra漏洞示意图 图 MACRUMORS
通过这个首选项面板,用户可以启用或禁用应用和操作系统升级的自动下载和安装。这并不会立即带来安全风险。但如果有人使用过你的电脑,那么他们可以禁用自动安全更新,进一步利用原本应当被修复的漏洞。
在默认情况下,App Store设置对管理员用户是解锁的。但如果你关注安全性,那么也可以锁定所有的系统设置,确保没有其他人能改动这些设置。
虽然这个漏洞并不像root密码漏洞那样危险,但是能够绕过任何密码的登录提示显然是不应该的。苹果应当重新思考质量保障流程,停止发布存在尴尬漏洞的升级。