macOS High Sierra 又爆漏洞:任意密码解锁 App Store 设置

2

近日,有安全研究人员发现 macOS High Sierra 中存在任意密码即可解锁 App Store 设置的漏洞,这已经是近几个月来第二次爆出 macOS High Sierra 有关密码验证的漏洞。

macOS High Sierra bug

回顾:大漏洞:macOS High Sierra 无需密码即可获得 Root 权限

好在本次漏洞的影响并不太严重,可以修改的 App Store 设置也并不是重要的设置,不会太影响 App Store 账号的安全性。但是本次漏洞的出现却让人们对 macOS 的安全性产生了质疑,毕竟这几次漏洞都关系到统的安全验证体系,而且这两次漏洞都似乎显得很“低级”。

一、任意密码解锁 App Store 设置漏洞

漏洞出现版本:macOS High Sierra 10.13.2

漏洞复现过程:

  1. 打开“系统偏好设置“
  2.  点击” App Store“”
  3.  点击设置解锁解锁(如果该设置已解锁,请单击将其锁定)
  4. 在弹出窗口中输入用户名和任何密码

经过测试,该漏洞仅出现在 App Store 的设置中,输入的用户名必须是已经存在的管理员账号用户名。

任意密码解锁 App Store 设置

任意密码解锁 App Store 设置

而对于其它已经锁定的偏好设置选项,本次漏洞不会造成任何影响。

二、本次漏洞影响范围和修复

本次漏洞影响存在于 macOS High Sierra 10.13.2 中,macOS Sierra 10.12.6 或更低版本中不存在该漏洞。

根据报道,Apple 已经在 macOS 10.13.3 beta 中修复了本次漏洞,之后的 10.13 正式版中不会存在此问题。

由于本次漏洞影响较小,估计 Apple 不会为此单独发布补丁程序,可能今后将通过 macOS 10.13.3 正式版的发布来修复本次漏洞

社交分享.

2条评论

评论区