К настройкам App Store на Мас можно получить доступ с помощью любого пароля
Эксперты в области безопасности продолжают находить уязвимости в операционной системе macOS High Sierra. На этот раз в текущей публичной версии macOS High Sierra 10.13.2 была обнаружена ошибка, позволяющая любому пользователю с учетной записью администратора получить доступ к настройкам App Store путем ввода произвольных учетных данных.
Из-за ошибки macOS High Sierra принимает любой пароль для разблокировки настроек в соответствующем разделе в приложении «Системные настройки». Для того чтобы воспользоваться уязвимостью, злоумышленнику потребуется всего лишь открыть настройки App Store, нажать на значок замка, если он открыт, нажать на него повторно, а затем ввести любой логин и пароль и нажать на «Разблокировать». Получив доступ к настройкам, он сможет изменять параметры, например, какие обновления устанавливать, устанавливать ли обновления безопасности и т.д.
Судя по всему, уязвимость затрагивает только версию 10.13.2. Проблема не воспроизводится в редакции 10.13.1. Apple устранила уязвимость в версии macOS 10.13.3, которая в настоящее время находится на этапе тестирования. Точная дата релиза данной версии пока не известна, предполагается, что производитель представит ее в январе 2018 года.
За последние три месяца это вторая уязвимость в macOS High Sierra, связанная с менеджером паролей. В ноябре минувшего года эксперт Леми Орхан Эргин (Lemi Orhan Ergin) выявил проблему в версиях MacOS High Sierra 10.13.0, 10.13.1 и 10.13.2, позволяющую любому пользователю получить права суперпользователя на устройстве без пароля.