Endnu en alvorlig sikkerhedsfejl er blevet opdaget i macOS High Sierra.
Fejlen, der stadig er til stede i Apples seneste offentlige udgivelse, giver alle mulighed for at ændre App Store -indstillingerne i Systemindstillinger ved at indtaste alt som din adgangskode.
Det er svært at ignorere faldet i Apples softwarekvalitet. Det ser ud til, at der ved hver opdatering - til iOS eller macOS - introduceres nye fejl. Nogle er alvorlige sikkerhedsfejl, som den, der tillod enhver at få administratoradgang til din Mac ved at indtaste "root" som adgangskode.
Endnu en sikkerhedsfejl er afdækket
Det seneste falder også ind under denne kategori. Fremhævet i en fejlrapport på Open Radar, giver fejlen alle mulighed for at ændre App Store -indstillinger inden for Systemindstillinger. Ved at indtaste noget i adgangskoden, som normalt kræver dit login -kodeord, giver feltet adgang til menuen.
Når man er inde i denne menu, kan brugeren gøre trivielle ting som at aktivere eller deaktivere automatiske opdateringer - herunder macOS opdateringer - og mere alvorlige ting som at ændre længden på tid, før din adgangskode kræves mellem App Store indkøb.
Brugeren skal dog være logget ind på en administratorkonto, så dette fungerer ikke på gæstekonti. Det er også værd at nævne, at andre systemindstillinger -menuer ikke kan låses op med det samme trick.
Apple har muligvis en rettelse klar
Ifølge MacRumors, som først lagde mærke til fejlrapporten, er fejlen til stede i Apples seneste version 10.13.2 - men ikke i Sierra -versioner af macOS. Problemet kan ikke gengives i de seneste 10.13.3 betas, så det ser ud til, at Apple muligvis allerede har en løsning klar.
Hvis Apple allerede er klar over problemet, har det sikkert håbet, at det kunne løse det, før nogen lagde mærke til problemet.
På dette tidspunkt tænker du måske, "App Store -præferencer er som standard låst op på administratorkonti." Men som MacRumors tilføjer, "at være i stand til at omgå en Macs kodeordsprompt med en hvilken som helst adgangskode er naturligvis uacceptabel."
Hvad er meningen med overhovedet at have prompten?
Jeg har allerede længe skrevet om, hvordan Apple skal gøre noget for at fjerne hyppige fejl som denne, og advarede om, at virksomheden i sidste ende kunne skade sit ry. Efterhånden som et stigende antal fejl bliver afdækket i nye udgivelser, øges potentialet for det.
Opdatering: En kilde, der kender til sagen, insisterer på, at denne fejl ikke skaber nogen eksponering for High Sierra -brugere. App Store -præferencemenuen er som standard låst op på administratorkonti.
Dog hvis en administrator låse i App Store -præferencemenuen kan en anden, der bruger deres konto, låse den op igen uden at indtaste den korrekte adgangskode. Igen virker dette ikke, hvis du er logget ind som en normal eller gæstebruger uden administratorrettigheder.
Denne adfærd giver ikke adgang til følsomme brugeroplysninger på Mac. Bruger- og andre systempræferencer kan ikke ændres uden brugernes administratoradgangskode. Vi får at vide, at Apples næste High Sierra -opdatering, version 10.13.3, vil fjerne problemet.
Apple har siden udsendt en officiel erklæring om fejlen, der lyder:
Vi beklager meget denne fejl, og vi beklager alle Mac -brugere, både for at frigive med denne sårbarhed og for den bekymring, den har forårsaget. Vores kunder fortjener bedre. Vi reviderer vores udviklingsprocesser for at forhindre, at dette sker igen.