Još jedan ozbiljan sigurnosni propust otkriven je u macOS -u High Sierra.
Greška, koja je i dalje prisutna u Appleovom najnovijem javnom izdanju, dopušta svima da promijene postavke App Store -a u Postavkama sustava unošenjem bilo čega kao svoju lozinku.
Teško je zanemariti pad kvalitete Appleovog softvera. Čini se da se sa svakom nadogradnjom - za iOS ili macOS - uvode nove greške. Neki su ozbiljni sigurnosni propusti, poput onog koji je dopustio bilo kome da dobije administratorski pristup vašem Macu unosom "root" kao lozinke.
Otkrivena je još jedna sigurnosna greška
Najnovije također spada u ovu kategoriju. Istaknuto u a izvješće o greškama na Open Radaru, nedostatak omogućuje svakome da promijeni postavke App Store -a unutar System Preferences. Unošenjem bilo čega u lozinku, za koju je obično potrebna lozinka za prijavu, polje odobrava pristup izborniku.
Kad uđe u ovaj izbornik, korisnik može učiniti trivijalne stvari poput omogućavanja ili onemogućivanja automatskih ažuriranja - uključujući macOS ažuriranja - i ozbiljnije stvari poput promjene duljine vremena prije nego što je potrebna lozinka između App Storea kupovine.
Korisnik mora biti prijavljen na administratorski račun, pa to neće funkcionirati na računima gostiju. Također je vrijedno spomenuti da se drugi izbornici Postavke sustava ne mogu otključati istim trikom.
Apple možda ima popravke spremne
Prema MacRumors, koji je prvi primijetio izvješće o greškama, nedostatak je prisutan u Appleovom najnovijem izdanju 10.13.2 - ali ne i u Sierra verzijama macOS -a. Problem se ne može reproducirati u najnovijim 10.13.3 beta verzijama, pa se čini da je Apple već mogao popraviti problem.
Ako je Apple već svjestan problema, sigurno se nadao da će ga moći riješiti prije nego što je itko primijetio problem.
U ovom trenutku možda mislite: "Postavke App Store -a prema zadanim su postavkama otključane na administratorskim računima." Ali kao MacRumors dodaje: "Mogućnost zaobilaženja upita za lozinku za Mac s bilo kojom lozinkom očito je neprihvatljiva."
Koja je svrha uopće imati upit?
Već sam opširno pisao o tome kako Apple moraju učiniti nešto kako bi uklonili česte greške poput ovog i upozorio da bi tvrtka na kraju mogla naštetiti ugledu. Kako se u novim izdanjima otkriva sve veći broj grešaka, potencijal za to raste.
Ažuriranje: Izvor upoznat sa ovom stvari inzistira na tome da ova greška ne stvara nikakvu izloženost korisnicima High Sierre. Izbornik postavki App Store -a prema zadanim je postavkama otključan na administratorskim računima.
Međutim, ako administrator brave izborniku postavki App Store, netko drugi koji koristi njihov račun može ga ponovo otključati bez unosa ispravne lozinke. Opet, ovo ne funkcionira ako ste prijavljeni kao normalni ili gostujući korisnik bez administratorskih ovlasti.
Ovo ponašanje ne dopušta pristup osjetljivim korisničkim podacima na Macu. Postavke korisnika i drugih sustava ne mogu se promijeniti bez administratorske lozinke korisnika. Rečeno nam je da će sljedeće Appleovo ažuriranje High Sierra, verzija 10.13.3, ukloniti problem.
Apple je od tada izdao službeno priopćenje o grešci koje glasi:
Jako žalimo zbog ove pogreške i ispričavamo se svim korisnicima Mac -a, kako zbog objavljivanja ove ranjivosti, tako i zbog zabrinutosti koju je izazvala. Naši kupci zaslužuju bolje. Reviziramo naše razvojne procese kako bismo spriječili da se to ponovi.
